生成AI悪用の最前線 イランと北朝鮮の脅威グループの事例から学ぶ：Cybersecurity Dive

CrowdStrikeが毎年発表している脅威調査報告書によると、犯罪者はサイバー攻撃のさまざまな段階で生成AIを悪用しているという。イランと北朝鮮の脅威グループが生成AIをどう使っているのか。具体的な事例を見てみよう。

[Eric Geller，Cybersecurity Dive]

　サイバーセキュリティ事業を営むCrowdStrikeは、2025年8月4日（現地時間、以下同）に発表した報告書の中で「政府から支援を受けたハッカーが、攻撃をより迅速かつ効果的にするためにAIを利用するケースが増えている」と述べた（注1）。

ハッカーは生成AIをどう悪用するのか？　CrowdStrikeが調査結果を報告

　CrowdStrikeが毎年発表しているサイバー脅威調査報告書で述べたところによると、攻撃者による偵察および脆弱（ぜいじゃく）性の悪用価値の把握、フィッシングメッセージの作成をAIが支援しているようだ。

　報告書によると、サイバー犯罪者はAIを使って作業の自動化やツールを改良しているという。企業が業務にAIを取り入れようと競争を繰り広げる中で、ハッカーたちも標的の把握や、これまでの攻撃を妨げてきた社会的および技術的な障壁の回避にAIを役立てているのだ。

　CrowdStrikeによると、イランと関係のあるハッカーグループ「Charming Kitten」は、2024年に米国や欧州の組織を狙ったフィッシング攻撃キャンペーンの一環として、AIを使ってメッセージを生成した可能性が高いという。また、CrowdStrikeが「Reconnaissance Spider」と呼ぶ別のグループは、過去に使ったメッセージを再利用する際、一部をウクライナ語に翻訳するためにAIを使用したことがほぼ確実とされている。攻撃者は、コピーしたテキストからAIモデルの定型的なプロンプト応答文を削除し忘れており、痕跡が残っていた。

　報告書によると、北朝鮮と関係のあるハッカーグループ「Famous Chollima」（UNC5267という名称でも追跡されている）が、年間320件以上という非常に速い活動ペースを維持するためにもAIが役立っているという。Famous Chollimaは、リモートで働く北朝鮮のIT従業員を利用した詐欺行為の主導者として知られている。詐欺によって盗まれた資金は平壌に送金され、場合によっては被害を受けた企業の機密データも盗まれる。

　CrowdStrikeによると、ハッカーグループは採用から雇用までのあらゆる段階において生成AIを活用したツールを取り入れ、作業を自動化および効率化し、活動ペースを維持しているという。研究者たちは、ハッカーの履歴書の作成および求人応募の管理、ビデオ面接中の身元の隠ぺいにもAIが役立っていることを突き止めた。

　企業がAIの導入を急ぐあまりセキュリティ対策を忘れがちになる中で、AIそのものがハッカーの標的となっている。CrowdStrikeは「攻撃者は、組織が使うAIツールを初期侵入の経路として利用し、侵入後にさまざまな攻撃を実行している」と述べた。

　具体例として、同社は2025年4月に発生した、AIワークフロー開発ツール「Langflow」の脆弱性が悪用されたインシデントを挙げた（注2）。本脆弱性を悪用してハッカーはネットワーク内部に侵入し、ユーザーアカウントを乗っ取り、マルウェアを展開したのである。

　CrowdStrikeは「組織がAIツールの導入を進めるにつれて、攻撃対象領域は拡大し続け、信頼されているAIツールが次なる内部脅威として浮上するだろう」と述べた。

（注1）CrowdStrike 2025 Threat Hunting Report（CrowdStrike）
（注2）CVE-2025-3248 Detail（NIST）