Monthly PickUp:2025-09

  1. NIST による AI 向けのセキュリティ・フレームワークが公開
  2. 増加する ClickFix 攻撃とその実例
Control Overlays

NIST Control Overlays for Securing AI Systems のコンセプト・ペーパーが公開(2025/8/14)

  1. 目的:開発・運用フェーズでのリスク管理の“標準化”
    • 既存のガイドラインである NIST SP 800-53 に AI特有のリスクを上乗せする形で拡張するもの
  2. 対象ユースケース
    • コンテンツ生成系
    • 予測・分析系
    • シングル/マルチエージェント系
  3. 技術要素
    • モデル検証
    • トレーニング・データの整合性管理
    • アルゴリズム透明性
  4. 実装上の要件
    • 継続的な挙動監視
    • 開発環境のアクセス制御
    • トレーニング/デプロイの監査証跡の保持
  5. AI システムに固有の攻撃例:
    • データ・ポイズニング(学習データの改竄)
    • モデル反転(学習済みモデルから元データを推定/逆算)
    • 敵対的学習(敵対的入力)(予測精度を下げるために誤作動を誘発)
  6. ガバナンスとコミュニティ
    • 定期的なセキュリティ評価/AI 特化のインシデント対応手順の整備
    • NIST は AI 向け Control Overlays for AI Project (COSAIS) を設立
    • 専用の Slack チャンネル (#NIST-Overlays-Securing-AI) も開設

【参考:NIST が公開した AI 向けのセキュリティ・フレームワーク:Control Overlays for AI Systems – IoT OT SecNews

AIによるエクスプロイト自動生成

  • 研究者グループが公開 CVE に対する有効なエクスプロイトを自動生成できる AI システムを開発
    (約10–15分/件、コスト約 $1/件)
  • 多段階パイプラインを採用:
    1. CVEアドバイザリ&パッチ解析(NIST/GitHubから情報収集)
    2. ガイド付きプロンプトによる詳細な攻撃戦略作成(ペイロード構築/脆弱性フロー分析)
    3. テスト環境でエクスプロイト+脆弱アプリを反復生成・検証(誤検知排除)
  • 商用クラウドの制約を回避するため、
    ローカルモデル(例:qwen3:8b)→ より強力なモデル(最終的に Claude Sonnet 4.0 が有効)の活用が行われた。
  • 実行基盤はコンテナ化(Dagger)を用い、
    反復開発のパフォーマンス最適化やコスト低減のためキャッシュ等を実装。
  • 成果
    • 複数言語/複数脆弱性タイプ(暗号バイパス/プロトタイプ汚染等)にわたるエクスプロイト生成に成功。
  • インパクト
    • CVE 公開→エクスプロイト生成の間に存在した「猶予期間」がほぼ消滅し、従来のパッチサイクルや脆弱性対応戦略が 根本的な再設計を迫られる可能性が高い。

【参考】
AI によるエクスプロイト開発:1件あたり $1 のコストで所要時間は僅か 10〜15 分 – IoT OT SecNews
・・AI/ML 関連記事 – IoT OT SecNews

新たな ClickFix 攻撃を検出:AnyDesk を装い MetaStealer マルウェアを拡散

  • ClickFix 攻撃について
    • ソーシャルエンジニアリングの一種で、比較的新しい手法
    • CAPTCHAや、ブラウザなどの製品のアップデートを装い、ユーザに悪意のあるコンテンツを実行させる
  • 基本的な流れ
    1. Windowsキー+Rキーを押す
    2. Ctrlキー+Vキーを押す
    3. Enterキーを押す
      【参考:ClickFixの被害をJSOCの複数のお客様にて観測 – LAC
  • 2025年6月に発表された Cofense のレポートによると、偽の CAPTCHA に関連するインシデントの 75% は、ClickFix テンプレートを利用する、Booking.com テーマのもの(Booking.com の成りすまし)
    【参考:ClickFix Campaign Spoofs Booking.com for Malware Delivery – COFENCE

新たな ClickFix 亜種と MetaStealer 拡散の概要

  • 攻撃内容
    • AnyDesk の正規インストーラーを装い、MetaStealer マルウェアを配布。
    • 偽の Cloudflare Turnstile 認証ページ経由でユーザーを誘導。
    • Windows の `search-ms` URI プロトコルを悪用し、File Explorer にリダイレクト。
  • 攻撃の流れ
    1. ユーザーが偽の AnyDesk ページにアクセス。
    2. `search-ms` URI により SMB 共有を呼び出し、ショートカット (`Readme Anydesk.pdf.lnk`) を配布。
    3. LNK ファイルが実行され、2つのコンポーネントをダウンロード:
      • 正規の AnyDesk インストーラー
      • 偽装 PDF(実体は MSI パッケージ)
    4. MSI インストールで `CustomActionDLL` と MetaStealer ドロッパー (`ls26.exe`) が展開。
    5. `ls26.exe` が認証情報や暗号ウォレットを窃取開始。
  • 技術的特徴
    • 従来の ClickFix(クリップボード+PowerShell)と異なり、LNK ペイロードを利用。
    • `search-ms` プロトコルの利用により実行制限を回避。
    • インストールプロセスは動的に `%COMPUTERNAME%` を利用し、ターゲット固有の URL でマルウェアを取得。
    • `ls26.exe` は Private EXE Protector で難読化。
  • 防御側への示唆
    • 正規プロトコルやシステム機能を悪用した攻撃が進化中。
    • プロトコル・ハンドラのポリシー厳格化、SMB 監査、MSI インストールのコンテキスト分析が重要。
    • ソーシャル・エンジニアリング防御を従来以上に強化する必要がある。

【関連ネタ】
ClickFix に新たな攻撃手法:CloudSEK が発表した AI 要約トリックという PoC エクスプロイト