Google Threat Intelligence Group(GTIG) 副チーフアナリストのルーク・マクナマラ(Luke McNamara)氏
Google Cloudは5月25日、AIを含む最新の脅威動向に関する記者説明会を開催し、Google Threat Intelligence Group(GTIG) 副チーフアナリストのルーク・マクナマラ(Luke McNamara)氏がプレゼンテーションを行なった。
同氏はGTIGでは脅威のグループとして、国家支援型のように高度な標的型攻撃のAPT、金銭目的のサイバー犯罪者などのFIN、それらに該当しない未分類のUNCの3つに分けて追跡を行なっていることを紹介。
その上で「今日の脅威の状況として、4つの大きなテーマがある。1つは脅威そのものの規模と範囲が拡大しているということ。2つめは、脅威のアクターがより自分たちの攻撃を検知されないようにしていること。3つめは、世界的な地政学的な環境が変化しつつある中、ハクティビストによる脅威のアクティビティの状況も変わってきているということ。最後に、AIの活用が攻撃者の間でも進んでいること。全体的なセキュリティの状況が大きく変わりつつある」と説明した。
GTIGの分析によれば、日本はここ数年間で6位の攻撃対象になっているという。
また、2025年のインシデント対応の活動から、攻撃手法が変化してきているをことを紹介。脆弱性のエクスプロイトが32%を占め、最も多いことに変わりはないが、Eメールベースのフィッシングが減少し、音声ベースのフィッシングが増加していると指摘した。
攻撃者が組織のヘルプデスクに、人になりすまして電話をかけ、そこでアカウントの変更を指示。ヘルプデスクがアカウントを変更した後、そのアカウントを乗っ取って侵入するといった流れだ。
また、エクスプロイトについても、パッチが適用されていない状態を狙うゼロデイ攻撃が2021年から増え続けている状況で、2025年だけでも90件が確認されたという。同氏は「今年のトレンドとして観測されているのは、オープンソースのソフトウェアに対してのサプライチェーン攻撃が急増していること。NPMやPyPI、GitHub Actionsなどのプッシュして、それらを使う企業内にパッケージをダウンロードさせる。それをきっかけに自分たちの認証情報が盗まれたり、機密情報が漏れたりしてしまう」と語る。
同氏は、日本においても、多くの企業や政府機関で活用されているKnowledgeDeliverがターゲットになったという例を挙げ、「いくつかのステージで攻撃のオペレーションが行なわれており、BluebeamやCobalt Strikeビーコンといったものを埋め込み、攻撃を進める」と注意を呼びかける。
これとは別に、中国のちか組織によるPhishing-as-a-Service(PHaaS)が日本をターゲットにしており、サイバー犯罪者グループがこれを利用していることが分かってきているという。実際にPayPayのアカウントを標的とした「YY Lai Yu」のようなPHaaSも確認されており、同氏は「フローそのものが自動化されており、攻撃手法が高度化し、より熟成している」と指摘する。
こうした攻撃の高度化の背後には、攻撃のあらゆるステージでのAIの活用がある。一般ユーザーの生成AIの活用と同様に、とりわけ調査やタスクのトラブルシューティングといったステージでの活用が進んでおり、攻撃の範囲や規模の拡大、攻撃のスピード、攻撃の巧妙化の3つの軸で懸念が広がっている。
同氏は一例として、二要素認証の適用ロジックとコード内の例外処理の矛盾を突いて侵入できるような脆弱性を見つけ、大量に悪用される前にベンダーと連携して被害を小さくしたという例や、Gemini APIにコーディングの指示を送り、そのコードが実行されることで別のプログラムがダウンロードされ、実行されるようにすることで検知されにくくするという「HONESTCUE」を紹介した。
日本においては、中国系と見られる脅威アクターが「Hexstrike MCP」を悪用し、AIにより攻撃を自動化している様子も確認されたという。
同氏は、こうした状況を踏まえ、「AIを使ってこういうことをやってみようという実験的な攻撃者の動きが今後さらに増えてくる。全体的にAIが攻撃者によって活用されることによって、範囲の拡大、スピード、巧妙化の懸念がある」と述べた。
昨今話題になっているMythosについては、「いろんな脆弱性が見つけやすくなる。(攻撃者に)対抗するためには、先に見つけてすぐにパッチを適用していかないといけない。スピードの戦いになってくる。最初から安全なコードを書いて活用していくのが理想的だが、ここしばらくはスピード競争になっていく」と語っていた。