「侵入から横展開まで30分」がもはや標準 AIで高速化する攻撃、防御は間に合うのか?:ESETが調査、最短6分でデータ流出する例も
ESETは、脅威アクターがAIを活用して攻撃を高速化している現状と防御側の対策について解説した。初期侵入から横展開までのブレークアウトタイムは平均約30分にまで短縮されていると警告している。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
セキュリティベンダーESETは2026年4月7日(現地時間)、公式ブログで、AIを活用したサイバー攻撃の加速と防御戦略についての解説を公開した。
RaaS(Ransomware as a Service)グループの80%がAIや自動化をサービスの機能として提供しているとする調査結果を引用し、攻撃側の能力が急速に強化されていると指摘。攻撃者は従来のTTP(戦術、技術、手順)をAIで強化し、攻撃のスピードを高めているとしている。
「侵入から横展開まで30分」 有効な防御戦略は?
ブレークアウトタイム(侵入後に横展開するまでの時間)は2025年に、平均約30分にまで短縮されている。一部の攻撃では初期侵入から1分未満で横展開が確認されたケースもある。
防御側がこの段階で攻撃者を阻止できなければ、初期侵入が重大インシデントに発展するリスクが高い。データの外部送信も加速しており、2025年の最短記録はわずか6分で、2024年の4時間29分から大幅に短縮されたという。
攻撃の高速化を支える要因
ESETでは、防御の時間的猶予が急速に縮まっている理由として以下の要因を挙げている。
- 正規認証情報の窃取と突破の巧妙化
- 弱いパスワードや使い回し、多要素認証(MFA)の未導入が総当たり攻撃を容易にしている
- ヘルプデスクを装うビッシング(Vishing:音声を使ったフィッシング)攻撃も巧妙化しており、正規の認証情報を取得して内部アラームを回避する
- ゼロデイ攻撃によるエッジデバイスへの侵入
- 「Ivanti Endpoint Manager for Mobile」(EPMM)などエッジデバイスの未修正の脆弱(ぜいじゃく)性を悪用し、社内セキュリティツールの検知を回避しながらネットワークへの足場を確保する
- AIを活用した偵察活動の強化
- オープンソースの手法とAIを組み合わせ、高権限ユーザーに関する公開情報を網羅的に収集する。組織構造や内部プロセス、IT環境に関する情報を基に攻撃を効率化し、ソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)のスクリプトを設計する
- 侵害後の活動の自動化
- AIを活用したスクリプトによって認証情報の収集や「LotL」(Living Off the Land:環境寄生型攻撃)、マルウェア生成を自動化している
- サイロ化されたチーム間の隙間の悪用
- 分断されたセキュリティチームやポイントソリューション間の可視性の欠如を突き、正常に見える活動を偽装する。EDR(Endpoint Detection and Response)を意図的に無効化または回避するケースもある
- 環境寄生型攻撃による潜伏
- 正規の認証情報やリモートアクセスツール、SMB(Server Message Block)やRDP(Remote Desktop Protocol)などのプロトコルを使用し、通常の業務活動に紛れることで検知を回避する
AIを活用した防御戦略
ESETは、攻撃者が昇格した権限でネットワークに侵入し検知されずに横展開できる状況では、人力による対応だけでは間に合わないと指摘する。対策として、AI搭載のXDR(Extended Detection and Response)や外部専門企業による24時間監視サービスMDR(Managed Detection and Response)の活用を推奨している。これらは不審な挙動を自動検出し、コンテキスト(背景情報)データでアラートの精度を高め、必要に応じて自動修復を実行するとしている。
エンドポイントやネットワーク、クラウドなど複数のレイヤーを横断的にカバーする単一プロバイダーの採用が、ポイントソリューション間の死角を解消するとしている。エッジデバイスの可視化や、SIEM(Security Information and Event Management)およびSOAR(Security Orchestration, Automation and Response)ツールとのシームレスな連携も重要だとする。
脅威インテリジェンスと脅威ハンティングの両方を活用するアプローチにより、攻撃者がどのように標的にし、次にどこへ移動するかに焦点を当てることが可能になる。
対応速度を高めるための具体策
ESETでは、対応時間を短縮するための具体策として以下を挙げる。
- エンドポイントやネットワーク、クラウド環境の継続的な監視と状況認識
- 不審な活動に対する自動対処(セッション終了やパスワードリセット、ホスト隔離など)と人的判断を組み合わせた分析
- ゼロトラスト(全てのアクセス要求に対して認証を求める)の原則に基づく最小権限アクセスポリシーとマイクロセグメンテーションで攻撃の影響範囲を最小化する
- パスワードマネジャーとフィッシング耐性のあるMFAに基づく、ID中心のセキュリティ強化
- ヘルプデスクプロセスの改善(別チャネルでの本人確認など)や効果的なセキュリティ意識向上トレーニングなどのビッシング対策
- ログイン時の自動化されたパスワード総当たり(ブルートフォース)攻撃を遮断する防御機能
- 従業員や企業情報が漏えいしていないか、ソーシャルメディアやダークWebを継続的に監視する
- メモリ上で実行されるスクリプトやプロセスの監視による環境寄生型攻撃の検出と遮断
- ゼロデイ攻撃の脅威を軽減するためのクラウドサンドボックスによる不審ファイルの実行と分析
ESETは、これらの対策を多層的に組み合わせ、信頼できるプロバイダーによるAI搭載のMDRやXDRを併せて運用することで、防御側が主導権を取り戻せると結論付けている。
関連記事
「侵入4分後にデータが消える」 AI悪用で“攻撃が速過ぎる”今、セキュリティチームが勝つには
サイバーセキュリティ企業CrowdStrikeは「2026年版グローバル脅威レポート」を発表した。AIを活用した攻撃者の活動が前年比89%増加し、偵察や認証情報の窃取、検知回避といった領域でAIを武器化する動きが加速しているという。
「Google ドライブもランサムウェアに狙われている」 身代金を払わずに一括ファイル復元するには
Googleは「Google ドライブ」のランサムウェア検知機能と一括ファイル復元機能の一般提供を開始したと発表した。
「AIを使った未検証の報告は単なるノイズ」 GitHubがバグ報奨金制度を厳格化
GitHubは同社のブログで「バグ報奨金プログラム」について基準を見直す方針を発表した。GitHubは「AIを活用して問題を発見する人が増えることはポジティブな進展だ」と評価する一方、「正当ではない報告も著しく増加しており、業界全体の課題だ」と指摘している。
平均パスワード保有数が168件から120件に初の減少 その裏で起きていること
Nord Securityの調査によると、ユーザーが管理する平均パスワード数は平均168件から120件に減少した。喜ばしい変化のように思えるが、エンジニアにとってはそう単純な話ではないかもしれない。
「ダークWebで個人情報を検出しました」 アカウント“流出”の原因と、その予防策
個人情報がダークWebに流出した場合、詐欺やアカウント乗っ取りに悪用されるリスクが高まる。ESETがダークWebでの流出が確認された場合の対処を解説した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。