技術的な説明
Googleの脅威インテリジェンスグループ(GTIG)は、サイバー犯罪者がAIを使用して未知のゼロデイ脆弱性を発見し、悪用した初の既知事例を開示しました。複数の「著名なサイバー犯罪脅威アクター」が協力して、人気のあるオープンソースシステムでニ要素認証(2FA)をバイパスできるPythonスクリプトのバグを特定しました。その後、グループはAI支援型コードを使用して脆弱性を悪用しました。この脆弱性は本番環境での悪用の前に阻止され、Googleはベンダーに開示しました。
攻撃経路
この攻撃はソフトウェアログインロジックの隠れた信頼仮定を対象とし、従来のセキュリティツールが検出に失敗することが多い微妙な動作上の弱点について推論するAIの能力を活用しています。攻撃チェーン:(1)AIが認証バイパスを特定、(2)AIが悪用可能なエクスプロイトコードを生成、(3)攻撃者が本番環境システムに展開。
影響を受けるシステム
名前のない人気のあるオープンソースシステム(Pythonスクリプトベース)。さらに、Googleは以下を特定しました:(1)APT45(北朝鮮の軍事グループ)がAIを使用して数千のエクスプロイトペイロードをテストおよび検証、(2)「PromptSpy」というマルウェアがGeminiを使用してAndroidデバイスを自律的にナビゲートし、リアルタイムで制御コマンドを生成。
緩和策
直近の対応:脅威アクターがAIモデルからゼロデイエクスプロイトをほぼリアルタイム(Googleの推定では、パッチ開示から動作するエクスプロイトまで約30分)で生成できると想定します。組織は以下を実施する必要があります:(1)攻撃者が発見する前に脆弱性を検出するためにAI支援型脆弱性発見(Daybreak、Mythosまたは同等のもの経由)を採用、(2)可能な限り開示ウィンドウを90日から30日に短縮、(3)継続的なパッチ適用と不変インフラストラクチャを実装して、悪用後の滞留時間を削減、(4)2FAバイパスが現在はコモディティ攻撃パスであると想定し、追加の認証要素(FIDO2、ハードウェアトークン)を追加。