国家レベルのサイバー脅威アクターと大規模言語モデルの利用に関する話で、せっかくなので TTP を眺めてみる
脅威アクターは、目的や攻撃手法に利用可能なプラットフォームに注目し LLM を含む AI を活用することで生産性の向上を狙っています。マルウェアの準備や、それらが検知されない手段の検討などは言うまでもなく、フィッシングに際してメール等のコンテンツの準備などのベーシックな部分でも LLM の活用が行われていると考えられています。さまざまな AI テクノロジーが出現するたびに、それに対する潜在的な価値や回避する必要があるセキュリティ制御を理解しようと、さまざまな AI テクノロジーを探索およびテストしています。OpenAI や、Microsoft などでは、こういったアクターを注視し、関連するアカウントを停止するなど対応を行っています。
以下に、典型的な TTP を確認することができる脅威アクターについて紹介します。
Forest Blizzard
ウクライナへの攻撃で知られるロシアの国家脅威アクターです。Forest Blizzard は LLM を利用して、ウクライナでの軍事作戦に関連する可能性のあるさまざまな衛星やレーダー技術の調査と、サイバー作戦を支援することを目的とした一般的な研究が含まれていました。
Emerald Sleet
北朝鮮の脅威アクターです。直近では、スピアフィッシングメールを多く用いて、学術機関や NGO になりすまし、ターゲットに声をかけ、北朝鮮に関連する外交政策について専門家の洞察と解説を返答させています。
Crimson Sandstorm
イスラム革命防衛隊 (IRGC) と関係があると評価されているイランの脅威アクターです。ウォータリングホール攻撃やソーシャルエンジニアリングを用いて、.NET のマルウェアの配布などを行っています。
Charcoal Typhoon
中国国家関連の脅威アクターです。彼らは、政府、高等教育、通信インフラ、石油・ガス、情報技術などのセクターをターゲットにしていることで知られています。ツールの開発やスクリプトの作成等において LLM の活用を模索し、ソーシャルエンジニアリングに活用しているとみられています。
Salmon Typhoon
こちらも中国の国家関連の脅威アクターです。Win32/Wkysol などのマルウェアの展開を通じて侵害された、システムへのリモートアクセスに実績があります。悪意を持つコードの開発にかかわるサポート要求なども観察され、Microsoft が拒否したという報告もあります。
踏まえて,,, LLM に関する TTP を眺めてみる
さて、上記のような分析から得られた LLM に関する TTP について、MITRE ATT&CK®フレームワーク または MITRE ATLAS™ ナレッジベースに情報が提供されています。
MITRE ATT&CK の TTP がわかりやすい
MITRE ATT&CKは、共通脆弱性識別子「CVE識別番号(CVE-ID)で知られる米国の非営利組織 MITRE によって考案されました。攻撃者が利用する戦術やテクニックなどの情報をフェーズごとに体系的にまとめています。ほかにこういった情報をまとめたものとしては、サイバーキルチェーンや STRIDE などが挙げられますが、MITRE ATT&CK はより具体的で、かつ攻撃アクターとの関連付けやそれらのアクターの特長なども含んでいるのでイメージを持って理解しやすいです。
MITRE ATT&CK では、攻撃のフェーズごとに「偵察(Reconnaissance)」から「インパクト(Impact)」まで14に分類され各フェーズで利用される手法を確認することができます。上記で取り合げた脅威アクターの TTP では、偵察活動における LLM の活用についてよく言及されていたので、「偵察(Reconnaissance)」を例に少し中身を見てみましょう。「偵察(Reconnaissance)」のテクニックとして、組織の情報収集やIDの情報収集などが設定されています。そしてそのサブカテゴリの配下にサブテクニックがさらに紐づけられています。
Reconnaissance/Phishing for information/Spearphishing link
一例として、上記脅威アクターのひとつ、 Emerald Sleet の項目で、スピアフィッシングが言及されていましたので、テクニック ”Phishing for information” の、サブテクニック ”Spearphishing link” の解説を見てみようと思います。
説明によると、悪意のあるリンクを含むメールをターゲットに送付し、フィッシングメッセージ内に「トラッキングピクセル」、「ウェブバグ」、「ウェブビーコン」を埋め込んでメールの受信を確認したり、IPアドレスなどの被害者情報をプロファイリングしてなどなど、攻撃に関する特徴の説明のほか、Procedure (TTP の P) に関する情報が載っています。詳細は読めばわかるので割愛します。
さて、Emerald Sleet の項目で、スピアフィッシングが多く用いられていると説明がありますが、MITRE ATT&CK のこの項目の実際の攻撃アクターを列挙した箇所に Emerald Sleet は記載がなく、というのも、Emerald Sleet は Kimsuky の関連組織という扱いのため、G0094 に関連付けられています。
※Kimsuky のページを開くと Associated group として引用されている。
ほかの脅威アクターとなんとなく比較してみると、Kimsuky の特長としては、「リンクを含むメールを送る」点や「ビーコンを埋め込んでいる」点などが挙げられそうです。
さらにページの下に読み進めていくと、対策や検知の方法についても具体的な対策の内容が説明されています。
LLM の利用に関する MITRE ATT&CK 記載箇所
MITRE ATT&CK について少し理解できたところで、いよいよ、テクニック "Resource Development" のサブテクニック "Obtain capability" の箇所に AI と攻撃に関するページがありますのでこちらを見てみたいと思います。 2024年の 3月に追加された項目のようです。
先ほどの Spearphising のページよりも情報量が少なく、まだ具体的な攻撃アクターとの関連付けなどの記載はありませんが、AI を使用したフィッシングの準備のための活動が確認されたりしている点の説明がありました。
おそらく、今後情報としては追加があるのではないかと思いますので、継続して見ていけたらと思います。
参照元:AIの時代において脅威アクターの一歩先を行く |Microsoft セキュリティ ブログ
国家系の脅威アクターによるAIの悪意ある利用を阻止 |オープンAI
MITRE ATT&CK®フレームワーク
MITRE ATT&CKとは?概要や活用事例などを概説 | Codebook|Security News