ESETが公開した2024年4月~9月のAPT(Advanced Persistent Threat)活動レポートでは、国家主導のAPTグループの戦術、ターゲット、攻撃範囲の進化について詳細な洞察が提供されています。政府機関から教育分野まで、多岐にわたる標的への高度な攻撃が急増していることが指摘されています。
APTグループは、VPN、クラウドサービス、標的型攻撃、フィッシングを活用し、攻撃手法を高度化させています。
中国関連APTグループの活動
主要なグループとターゲット
Flax TyphoonとWebworm
- SoftEther VPNを利用してネットワークへの持続的アクセスを確保し、監視を回避。
- 主なターゲット: EU諸国の政府機関、アフリカの通信業者。
MirrorFace
- 攻撃範囲を日本からヨーロッパの外交機関へ拡大。
- 2025年大阪万博関連のフィッシングメールを使用した攻撃が確認されました。
CloudSorcerer
- ロシア政府機関や南米(エクアドル)の個人をターゲットとした攻撃を実施。
SoftEther VPNの活用
中国関連APTグループはSoftEther VPNを積極的に使用しており、その特性を悪用して以下を実現しています:
- 監視の回避: HTTPSトンネルを活用し、合法的なトラフィックに紛れる。
- ネットワークアクセスの維持: SoftEther VPN Bridgeを使用し、被害者ネットワークへの持続的なアクセスを確保。
Webwormの事例
- SoftEther VPN BridgeをEU諸国の政府ネットワークで利用。
- ファイアウォールを回避し、ローカルネットワーク内での直接通信を確立。
MirrorFaceの活動拡大
MirrorFaceは2024年夏にヨーロッパの外交機関への攻撃を開始。攻撃の手法には以下が含まれます:
- 万博を題材にしたフィッシングメール: 「The EXPO Exhibition in Japan in 2025.zip」というZIPファイルをOneDriveにホスト。
- ANELバックドアの復活: ZIPファイル内のLNKファイルを利用し、被害者のシステムにバックドアをインストール。
北朝鮮関連APTグループの活動
代表的なグループ
Lazarus
- 「Operation DreamJob」による偽の求人キャンペーンでターゲットを欺き、暗号通貨の窃盗を狙う。
Kimsuky
- Microsoft Management Console(MSC)ファイルを活用した新しい攻撃手法。
- Google DriveやOneDriveをC&Cサーバーとして悪用。
ScarCruft
- Yandex DiskやpCloudを利用し、バックドア通信を隠蔽。
その他のAPTグループの活動
ロシア関連APTグループ
- ウクライナの重要インフラをターゲットにした攻撃を継続。
- ZimbraやRoundcubeのXSS脆弱性を利用し、メールデータの窃取を実施。
イラン関連APTグループ
- アフリカおよび中東地域での影響力拡大を目指し、金融および交通インフラを攻撃。
まとめ
ESETのレポートは、国家主導のAPTグループが地域を超えて活動を拡大し、戦術を進化させていることを明らかにしました。企業や政府機関は以下の対策を講じる必要があります:
- セキュリティ体制の強化: 多層防御の導入と継続的な監視。
- 従業員教育の強化: フィッシング攻撃のリスクについての啓発。
- サイバー攻撃の早期検知と対応: 定期的な脆弱性スキャンとログ監視。
APT活動の高度化に対応するため、各組織は迅速かつ包括的な対策を講じることが求められます。
参照
