※この資料は米国にて2025年8月4日に発表されたプレスリリース(https://www.crowdstrike.com/en-us/press-releases/crowdstrike-releases-2025-threat-hunting-report/)の抄訳です。



クラウドストライク(https://www.crowdstrike.com/ja-jp/)（NASDAQ：CRWD）は本日、2025年版脅威ハンティングレポート(https://www.crowdstrike.com/en-us/resources/reports/threat-hunting-report/)を発表しました。本レポートでは、現代のサイバー攻撃が新たな段階に突入していることが強調されています。つまり、攻撃者は生成AIを武器としてその活動範囲を広げ、攻撃を加速させるとともに、企業活動を再構築しつつある自律型AIエージェントを標的とする傾向が強まっています。本レポートでは、脅威アクターが、AIエージェントを構築するために使用されているツールを標的にして、アクセス権を獲得し、認証情報を窃取して、マルウェアを展開している様子が明らかになっています。これは、自律的なシステムやマシンのアイデンティティが企業の攻撃対象領域の中心的な位置を占めるようになっていることを明確に示すものです。

クラウドストライク脅威ハンティングレポートのハイライト

命名された265を超える攻撃者を追跡する、クラウドストライクの卓越した脅威ハンターおよびインテリジェンスアナリストから得た最前線のインテリジェンスに基づくこのレポートでは、以下が明らかとなりました。

- 攻撃者は広範囲にわたりAIを武器として活用：北朝鮮関連の攻撃者FAMOUS CHOLLIMA(https://www.crowdstrike.com/adversaries/famous-chollima/)は、生成AIを使用してインサイダー攻撃プログラムのあらゆる段階を自動化しています。AIを活用した攻撃者の手口は、偽の履歴書の作成、ディープフェイクによる面接の実施、偽名による技術的業務の遂行に至るまで、従来のインサイダー脅威から、スケーラブルで持続的な活動へとその形を大きく変えています。ロシア関連の攻撃者EMBER BEAR(https://www.crowdstrike.com/adversaries/ember-bear/)は生成AIを利用して親ロシア的な言説を拡散し、イラン関連の攻撃者CHARMING KITTEN(https://www.crowdstrike.com/adversaries/charming-kitten/)は、大規模言語モデル (LLM) によって作成されたフィッシング誘導文を用いて米国やEUの企業を標的としています。- エージェント型AIが新たな攻撃対象領域に：クラウドストライクでは、AIエージェントを構築するために使用されているツールの脆弱性を悪用して、不正にアクセス権を獲得し、持続的な足場を築き、認証情報を収集して、マルウェアやランサムウェアを展開している複数の脅威アクターを確認しています。このような攻撃は、エージェント型AIの進化により、企業の攻撃対象領域が形を変えつつあることを示しています。自律的なワークフローや非人間アイデンティティが、攻撃者が標的とする次のフロンティアとなっているのです。- 生成AIが作成したマルウェアが現実の脅威に：低レベルのサイバー犯罪者やハクティビストはAIを悪用してスクリプトを生成し、技術的な問題を解決して、マルウェアを作成しています。これまで高度な専門知識を要していた作業も、AIにより自動化が可能になりました。FunklockerやSparkCatは、生成AIにより作成されたマルウェアが、単なる理論上の可能性ではなく、すでに実運用されていることを示す初期段階の証拠です。- SCATTERED SPIDER(https://www.crowdstrike.com/adversaries/scattered-spider/)がアイデンティティを悪用したクロスドメイン攻撃を加速：2025年に活動を再開したこのグループは、より迅速かつ攻撃的な手法を展開しています。具体的には、ビッシングやヘルプデスクのなりすましを用いて認証情報をリセットし、多要素認証をバイパスして、SaaSおよびクラウド環境間をラテラルムーブメントしています。同グループは、あるインシデントにおいて、初期アクセスからランサムウェアの展開による暗号化までを24時間以内で遂行しています。- 中国関連の攻撃者による継続的なクラウド攻撃の急増：クラウドの侵入件数が136%増加しており、増加した活動のうち40%は中国関連の攻撃者が占めています。GENESIS PANDA(https://www.crowdstrike.com/adversaries/genesis-panda/)やMURKY PANDA(https://www.crowdstrike.com/adversaries/murky-panda/)はクラウドの設定ミスや信頼されているアクセス権を通して検知を回避しています。



クラウドストライクでCounter Adversary Operationsの責任者を務めるアダム・マイヤーズ（Adam Meyers）は次のように述べています。

「AI時代は、企業の運営方法と攻撃者の攻撃手法の両方を大きく変えました。脅威アクターは生成AIを利用して、広範囲にわたりソーシャルエンジニアリングを行い、活動を加速させ、ハンズオンキーボード攻撃への参加障壁を引き下げています。同時に、攻撃者は、企業が導入しているAIシステムそのものを標的にしています。AIエージェントはすべて、超人的なアイデンティティを持ち、自律的かつ高速に動作し、システムに緊密に統合されているため、極めて価値の高い標的となります。攻撃者はこれらのエージェントをインフラストラクチャと同様に扱い、SaaSプラットフォーム、クラウドコンソール、特権アカウントを標的にする場合と同じ手法で攻撃を仕掛けています。このように、ビジネスの基盤となるAIの保護こそが、現在のサイバー戦の新たな焦点となっているのです」

