ウクライナの国家特殊通信・情報保護局(SSSCIP)は、2025年上半期にロシアのハッカーによるサイバー攻撃におけるAI活用が新たなレベルに到達したと発表した。
同期間中に記録されたサイバーインシデントは3,018件で、2024年下半期の2,575件から増加した。UAC-0219はAIツールで開発されたとみられるWRECKSTEELマルウェアを使用し、国家行政機関と重要インフラを攻撃した。
UAC-0218、UAC-0226、UAC-0227、UAC-0125などの脅威グループが、それぞれHOMESTEEL、GIFTEDCROOK、Amatera Stealer、Strela Stealer、Kalambur(別名SUMBUR)といったマルウェアを配布するフィッシングキャンペーンを展開した。APT28はRoundcubeとZimbraの脆弱性を悪用してゼロクリック攻撃を実行している。
攻撃者はDropbox、Google Drive、Telegramなどの正規サービスを悪用し、マルウェアホスティングやデータ流出に利用している。
From: 
From Phishing to Malware: AI Becomes Russia’s New Cyber …
【編集部解説】
今回のウクライナ当局の報告で特に注目すべきは、AIがサイバー攻撃のツールとして「生成」段階に入ったという点です。これまでAIは主にフィッシングメールの文章作成など、攻撃の準備段階で使われていました。しかし2025年上半期には、マルウェアそのものをAIが生成した痕跡が確認されています。
WRECKSTEELというPowerShellベースのマルウェアは、その代表例です。従来であれば熟練したプログラマーが時間をかけて開発していたマルウェアを、AIツールを使えば短時間で生成できる可能性が出てきました。これは攻撃の敷居を大幅に下げることを意味します。
サイバーインシデントの数値も見逃せません。2024年下半期の2,575件から2025年上半期には3,018件へと約17%増加しています。特に地方自治体と軍事機関への攻撃が増加傾向にあり、攻撃者が標的を分散させていることが分かります。
APT28によるゼロクリック攻撃の手法も巧妙です。RoundcubeやZimbraといった企業向けウェブメールソフトウェアの脆弱性を悪用し、ユーザーが何もクリックしなくても認証情報を窃取できる仕組みを構築しています。隠しHTMLブロックにautocomplete属性を設定することで、ブラウザに保存されたパスワードを自動的に抽出する手法は、技術的には単純ですが極めて効果的です。
正規サービスの悪用という戦術も、防御側にとって頭の痛い問題です。Dropbox、Google Drive、Telegramといった日常的に使われるプラットフォームを攻撃インフラとして利用されると、通常のトラフィックと悪意ある通信の区別が困難になります。これらのサービスをブロックすることは業務への影響が大きいため、組織は難しい判断を迫られます。
ウクライナの事例は地理的に限定されたものではありません。AIを活用したマルウェア開発の手法は、他の攻撃グループにも急速に広がる可能性があります。防御側もAIを活用した検知技術の導入を急ぐ必要があるでしょう。
【用語解説】
フィッシング
正規の組織や人物を装った偽のメールやウェブサイトを使い、ユーザーの認証情報や個人情報を詐取する攻撃手法である。
マルウェア
悪意のあるソフトウェアの総称。コンピュータやネットワークに不正侵入し、データの窃取、破壊、システムの乗っ取りなどを行う。
ゼロクリック攻撃
ユーザーが何もクリックしたり操作したりしなくても、脆弱性を悪用して自動的に実行される攻撃手法。受信しただけで感染するため防御が困難である。
APT(Advanced Persistent Threat)
高度で持続的な脅威を意味し、特定の標的に対して長期間にわたって執拗に攻撃を行う組織的なサイバー攻撃グループを指す。
CVE(Common Vulnerabilities and Exposures)
公開されているセキュリティ脆弱性に割り当てられる識別番号。CVE-2024-37383のような形式で表記され、脆弱性の追跡と管理に使用される。
【参考リンク】
State Service of Special Communications and Information Protection of Ukraine(外部)
ウクライナの国家特殊通信・情報保護局の公式サイト。サイバーセキュリティに関する報告書や最新の脅威情報を公開している政府機関。
Roundcube Webmail(外部)
オープンソースのウェブメールクライアント。多くの企業や組織で使用されているが、過去に複数の脆弱性が発見されている。
Zimbra Collaboration(外部)
企業向けのメールおよびコラボレーションプラットフォーム。世界中の組織で利用されているが、サイバー攻撃の標的となることがある。
The Hacker News(外部)
サイバーセキュリティ分野の最新ニュースを専門に扱うメディア。脅威インテリジェンスやセキュリティ研究の情報を提供している。
【参考記事】
Ukraine Reports Surge in AI-Powered Cyber Attacks(外部)
ウクライナへのサイバー攻撃が2024年下半期から17%増加し、AIツールで開発されたWRECKSTEELマルウェアが確認されたことを報じている。
Russia’s Cyber Operations Against Ukraine Evolve with AI(外部)
ロシアの脅威グループがフィッシングからマルウェア開発までAIを活用している実態と、RoundcubeやZimbraの脆弱性を悪用したゼロクリック攻撃の技術的詳細を分析。
【編集部後記】
AIがサイバー攻撃の「武器」そのものを生成する時代が、もう始まっています。今回のウクライナの事例は遠い国の出来事ではなく、日本の組織や個人にも直結する問題です。
みなさんの組織では、ブラウザのパスワード自動保存機能をどのように管理していますか?便利さとセキュリティのバランスをどう取るべきか、改めて考える機会かもしれません。また、DropboxやGoogle Driveといった日常的に使うサービスが攻撃インフラとして悪用される現実を、どう受け止めればよいのでしょうか。AI時代のサイバーセキュリティについて、ぜひみなさんのご意見もお聞かせください。
