近年、サイバー攻撃の手口は高度化の一途をたどっており、特に国家支援型のAPT(Advanced Persistent Threat)グループは、最新技術を駆使してその活動を活発化させています。中でも、中国を拠点とするAPTグループ「UTA0388」は、AI(人工知能)ツールをサイバー攻撃に積極的に組み込み、その能力を大幅に向上させているとして、セキュリティ専門家の間で大きな懸念を呼んでいます。
UTA0388は、以前は「Bronze Riverside」、「Emissary Panda」などの別名で知られていました。このグループは、偵察活動、マルウェア開発、ソーシャルエンジニアリングなど、攻撃のあらゆる段階でAIツールを活用しています。これにより、攻撃者は標的の特定から攻撃の実行、そして痕跡の隠蔽まで、より効率的かつ効果的に行動できるようになっています。例えば、AIを利用して公開情報を分析し、脆弱性のあるシステムやソーシャルエンジニアリングの標的となる人物を特定する、といったケースが考えられます。
UTA0388の活動は、従来のサイバーセキュリティ対策の有効性を脅かしており、企業や組織はより高度な防御戦略を構築する必要に迫られています。
「HealthCheck」から「Govershell」へ:進化するマルウェアと攻撃手法
セキュリティ研究者たちは、UTA0388が使用するマルウェアの進化にも注目しています。初期段階で使用されていた「HealthCheck」と呼ばれるシンプルなツールから、より高度な機能を備えた「Govershell」へと移行していることが確認されています。Govershellは、Go言語で記述されたバックドアであり、感染したシステム上で様々なコマンドを実行し、機密情報を窃取する能力を持っています。
Govershellの進化は、攻撃者がより巧妙な手口で防御を突破しようとしていること示唆しています。このマルウェアは、難読化技術や暗号化通信を使用することで、検知を回避するよう設計されています。さらに、Govershellは、異なるオペレーティングシステムに対応しており、攻撃者はより広範なシステムを標的にすることができます。
研究者たちは、Govershellが以前のHealthCheckの機能を包含しつつ、機能拡張とステルス性の向上を実現している点を特に警戒しています。この進化は、攻撃者が継続的に手口を改善し、防御側の対策を出し抜こうとする姿勢を如実に示しています。
OpenAIの対策とロシア・北朝鮮関連APTグループの脅威
OpenAIは、ロシアおよび北朝鮮に関連するAPTグループが、自社のAI技術を悪用してサイバー攻撃を計画していることを公表しました。OpenAIはこれらのグループを特定し、アカウントを停止するなどの対策を講じています。
OpenAIの発表によれば、ロシアのAPTグループ「APT28」(別名:Fancy Bear)と、北朝鮮のAPTグループ「Stonefly」が、OpenAIのAPIを使用して、ソーシャルエンジニアリング攻撃の準備やマルウェアの開発を行っていたことが明らかになりました。APT28は、過去に米国の選挙に介入したとされるなど、国際的に悪名高いグループです。Stoneflyは、北朝鮮の核兵器開発資金を調達するために、サイバー攻撃を行っているとされています。
これらのAPTグループは、OpenAIの技術を悪用することで、攻撃の効率性と効果を高めようとしていました。例えば、AIを利用してより巧妙なフィッシングメールを作成したり、マルウェアのコードを自動生成したりすることが可能になります。OpenAIは、これらの脅威に対抗するために、APIの利用状況を監視し、悪用を検出するシステムの強化に取り組んでいます。
AI悪用攻撃への対抗策:高度な脅威インテリジェンスと多層防御戦略
AIを悪用したサイバー攻撃に対抗するためには、高度な脅威インテリジェンスと多層防御戦略が不可欠です。企業や組織は、最新の脅威情報を収集・分析し、自社のシステムやネットワークに潜在する脆弱性を特定する必要があります。また、AIを活用した攻撃を検知するためのセキュリティツールや技術を導入することも重要です。
具体的には、機械学習を活用した異常検知システムや、行動分析による不審なアクティビティの特定、そしてサンドボックス環境でのマルウェア解析などが有効です。さらに、従業員へのセキュリティ意識向上トレーニングを実施し、ソーシャルエンジニアリング攻撃に対する抵抗力を高めることも重要です。
サイバー攻撃者は、常に新しい手口を開発し、防御側の対策を出し抜こうとしています。したがって、企業や組織は、セキュリティ対策を継続的に見直し、改善していく必要があります。脅威インテリジェンスを基盤としたプロアクティブな防御戦略を構築し、AIを悪用した攻撃から自社の資産を守り抜くことが重要です。
UTA0388の標的選定:地政学的要因と産業スパイ活動の関連性
UTA0388の標的選定には、地政学的要因と産業スパイ活動が深く関連していると考えられています。このグループは、特定の国や地域、または特定の産業分野に焦点を当てて攻撃を行っている可能性があります。例えば、政府機関や軍事関連企業、または技術革新が進んでいる企業などが標的となることが考えられます。
UTA0388の攻撃の目的は、機密情報の窃取、知的財産の盗難、またはシステムの妨害など、多岐にわたる可能性があります。攻撃者は、盗んだ情報を利用して、自国の経済的または軍事的な優位性を確立しようとする可能性があります。
企業や組織は、自社がUTA0388のようなAPTグループの標的となるリスクを評価し、適切なセキュリティ対策を講じる必要があります。脅威インテリジェンスを活用して、標的となりやすい産業や組織の特徴を把握し、それに基づいて防御戦略を調整することが重要です。
参考情報
本記事は以下の情報源を参考に作成されました:
- -China-Aligned UTA0388 Group Abuses AI Tools in Cyber-Attacks - https://www.infosecurity-magazine.com/news/china-aligned-uta0388-ai-tools/
- -From HealthCheck to Govershell: Evolution of a Chinese Backdoor - https://thehackernews.com/2025/10/from-healthkick-to-govershell-evolution.html
- -OpenAI Disrupts Russian, North Korean Actors Abusing AI for Cyberattacks - https://thehackernews.com/2025/10/openai-disrupts-russian-north-korean.html