国家に支援される APT と AI の関係:57 の脅威グループが Google Gemini を悪用

Google: Over 57 Nation-State Threat Groups Using AI for Cyber Operations

2025/01/30 TheHackerNews — 中国/北朝鮮/イラン/ロシアに関連するとされる 57 の脅威アクター・グループが、Google が提供する人工知能 (AI) 技術を使用して、悪意の活動を強化していることが確認されている。Google Threat Intelligence Group (GTIG) の最新レポートには、「脅威アクターたちは、そのオペレーションのために Gemini を試しており、生産性の向上は見つかっているが、新しい機能の開発は確認されていない。いまの脅威アクターたちは AI の研究段階にあり、コードのトラブル・シューティング/コンテンツの作成およびローカライズを試行している」と記されている。

政府に支援される Advanced Persistent Threat (APT) グループが AI ツールを利用する範囲は、コーディングおよびスクリプト作成タスク/ペイロード開発/ターゲット情報の収集/既知の脆弱性の調査/防御回避と活動の有効化などの、攻撃サイクルの複数のフェーズにわたる。

Google TIG (GTIG) は、「イランの APT は、Gemini の最もヘビーなユーザーである。同国のハッカーによる Gemini 使用の 30% 以上を占めるのは、APT42 として知られるハッキング集団である。このグループは、フィッシング・キャンペーンの作成/防衛専門家や組織の偵察/サイバー・セキュリティをテーマにしたコンテンツの生成などに、Gemini ツールを活用している」と述べている。

Charming Kitten や Mint Sandstorm として追跡されているクラスターと共通点が見られる APT42 は、過去に、強化されたソーシャル・エンジニアリング・スキームを編成して、ターゲット ネットワーク/クラウド環境に侵入している。2024年5月に Mandiant は、この脅威アクターがジャーナリストやイベント主催者を装い、欧米や中東の NGO/メディア/学術機関/法律サービス/活動家をターゲットにしたことを明らかにした。

このグループは、軍事/兵器システムの調査や、中国の防衛産業の戦略的動向の研究、米国製の航空宇宙システムに対しても、理解を深化させようとしている。

さらに、その他の各国の APT も、以下のような用途で Gemini を使用していたことが判明した:

  • 中国の APT グループ:偵察/コードのトラブル・シューティング/横移動/権限昇格/データ流出/検出回避などの手法を、Gemini で調査していた。
  • ロシアの APT グループ:公開されているマルウェアを別のコーディング言語に変換し、既存のコードに暗号化レイヤーを追加するために使用していた。
  • 北朝鮮の APT グループ:インフラとホスティングのプロバイダーの調査に使用していた。

GTIG は、「注目すべきは、北朝鮮のグループが、カバー・レターの作成や求人の調査にも Gemini を使用していたことだ。つまり北朝鮮が、秘密裏に IT 労働者を西側企業に配備しようとする取り組みを、支援している可能性が高いと思われる。ある北朝鮮のグループは、Gemini を使用して仕事の平均給与を調査し、LinkedIn で求人について質問している。このグループは、海外の従業員の交換に関する情報も Gemini で入手している。仕事の調査や応募をする人にとって、それらのトピックの大半は、一般的なものである」と指摘している。

さらに Google が発見したのは、安全性や倫理的な制約無しでレスポンスを生成できる大規模言語モデル (LLM) の悪意のバージョンを宣伝する、地下フォーラムへのいくつかの投稿である。

このような悪意のツールの例として挙げられるのは、WormGPT/WolfGPT/EscapeGPT/FraudGPT/GhostGPT などである。それらのツールは、パーソナライズされたフィッシング・メールの作成/ビジネスメール詐欺 (BEC) 攻撃のテンプレート生成/詐欺的な Web サイトの設計などを目的として、設計されているという。

Gemini を悪用する試みは、中国/イラン/ロシアが展開するオペレーションの一環である、時事問題の調査や、コンテンツの作成/翻訳/ローカライゼーションにも及んでいる。全世界で 20カ国以上の APT グループが、Gemini を使用している。

Google は、「プロンプト・インジェクション攻撃に対抗するために、積極的な防御策を展開している。サイバー防御力を高め、脅威を阻止するために、官民連携を強化する必要性がある。米国の産業界と政府は、国家と経済の安全保障を支えるために協力する必要がある」と述べている。

各国の APT グループの間で、Google Gemini の悪用が拡大しているという記事です。フィッシングやソーシャル・エンジニアリング攻撃は、企業だけでなく、一般ユーザーにも及ぶため、基本的なセキュリティ対策を徹底することが不可欠です。関連するトピックとして、2024/04/19 の「GPT-4 調査:脅威アドバイザリを読むだけで多くの脆弱性を悪用できる – University of Illinois」があります。よろしければ、カテゴリ AI/ML と併せて、ご参照ください。