技術的な説明
Googleの脅威インテリジェンスグループ(GTIG)は、サイバー犯罪者がAIを使用して未知のゼロデイ脆弱性を発見し、兵器化した初めての既知のケースを開示しました。複数の「著名なサイバー犯罪脅威アクター」が協力して、Pythonスクリプトのバグを特定し、人気のあるオープンソースシステムの2要素認証(2FA)をバイパスすることが可能になりました。その後、グループはAI支援コードを使用して脆弱性を兵器化しました。この脆弱性は本番環境での悪用前に阻止され、Googleはベンダーに開示しました。
攻撃経路
この攻撃は、ソフトウェアログインロジックの隠れた信頼仮定を標的とし、従来のセキュリティツールがしばしば検出に失敗する微妙な動作上の弱点について推論するAIの能力を活用しています。攻撃チェーン:(1) AIが認証バイパスを特定、(2) AIが兵器化されたエクスプロイトコードを生成、(3) 攻撃者が本番環境システムに対して展開。
影響を受けるシステム
名前が明かされていない人気のあるオープンソースシステム(Pythonスクリプトベース)。さらに、Googleは以下を特定しました:(1) APT45(北朝鮮の軍事グループ)がAIを使用して数千のエクスプロイトペイロードをテストおよび検証、(2) 「PromptSpy」というマルウェアがGeminiを使用してAndroidデバイスを自律的にナビゲートし、リアルタイムで制御コマンドを生成。
緩和策
即時対応:脅威アクターが現在、AIモデルからほぼリアルタイムでゼロデイエクスプロイトを生成できると想定してください(Googleは修正プログラム開示から動作するエクスプロイトまで約30分と推定)。組織は以下を実行する必要があります:(1) AI支援の脆弱性発見(Daybreak、Mythos、または同等のツール経由)を採用して、攻撃者より先に脆弱性を発見、(2) 可能な限り開示ウィンドウを90日から30日に短縮、(3) 継続的なパッチ適用と不変インフラストラクチャを実装してポスト悪用の潜伏時間を削減、(4) 2FAバイパスが現在一般的な攻撃経路であると想定し、追加の認証要素(FIDO2、ハードウェアトークン)を追加。