Google、ウクライナ組織を狙う「CANFAIL」マルウェア攻撃をロシア関連アクターに帰属

雑記

Google脅威インテリジェンスグループ(GTIG)が、ウクライナの防衛・軍事・政府・エネルギー組織を標的とした新たなマルウェア「CANFAIL」を使用する攻撃キャンペーンを、ロシア情報機関との関連が疑われる未知の脅威アクターに帰属させたことが明らかになった。このアクターはLLM(大規模言語モデル)を偵察やソーシャルエンジニアリングに活用するなど、AI時代の新たな脅威の形を示している。

この記事のポイント

  • Googleが未知の脅威アクターをロシア情報機関関連と評価し、ウクライナ組織へのCANFAILマルウェア攻撃に帰属させた
  • 攻撃者はLLM(大規模言語モデル)を偵察・ソーシャルエンジニアリング・技術的質問の解決に活用している
  • 標的は防衛・軍事・政府・エネルギーから航空宇宙・核研究・人道支援組織にまで拡大している

脅威アクターの特徴とLLM活用

Googleの分析によると、この脅威アクターは他のロシア系APTグループと比較して技術的洗練度は低いとされている。しかし注目すべきは、その能力向上のためにLLM(大規模言語モデル)を積極的に採用し始めている点である。Googleは「プロンプティングを通じて、彼らは偵察活動を行い、ソーシャルエンジニアリング用のルアー(おとり)を作成し、基本的な技術的質問の答えを探している」と報告している。これはAIツールがサイバー攻撃の敷居を下げる可能性を示す具体的な事例として、セキュリティ業界から注目を集めている。技術力が低いアクターでも、LLMを活用することで攻撃の質を高められるという現実は、防御側にとって新たな課題となっている。

CANFAILマルウェアの攻撃手法

CANFAILは難読化されたJavaScriptマルウェアであり、巧妙な多段階の攻撃チェーンを通じて展開される。攻撃は、ウクライナのエネルギー関連組織やルーマニア企業を装ったフィッシングメールから始まる。メールにはGoogle Driveへのリンクが埋め込まれており、RARアーカイブのダウンロードに誘導する。アーカイブ内のファイルは「*.pdf.js」のような二重拡張子を使用し、正規のPDFドキュメントに偽装している。被害者がファイルを実行すると、CANFAILはPowerShellスクリプトを起動し、メモリ上にのみ存在するドロッパーをダウンロードする。この間、偽のエラーメッセージを表示して被害者の注意をそらす仕組みとなっている。メモリのみで動作するため、ディスク上に痕跡が残りにくく、従来のアンチウイルスソフトでの検出が困難である。またモルドバの組織に対しても偵察目的のキャンペーンが確認されており、標的の地理的範囲も拡大している。

標的の拡大と関連キャンペーン

当初、このアクターは重要インフラを中心に攻撃を行っていたが、現在では標的を大幅に拡大している。航空宇宙関連組織、軍事関連の製造企業、核・化学研究施設、さらには国際人道支援組織までもが標的リストに含まれるようになった。特に人道支援組織が標的に加えられた点は、ウクライナ紛争に関連する情報収集の意図を強く示唆している。

またGoogleは、このアクターを2025年10月にSentinelOneが公開した「PhantomCaptcha」キャンペーンと関連付けている。PhantomCaptchaはウクライナ戦争救援組織を標的とし、ClickFix型フィッシングを通じてWebSocketベースのトロイの木馬を配布するキャンペーンであった。この関連付けにより、同一アクターが長期にわたり複数のキャンペーンを展開してきたことが明らかになった。

知っておくと便利なTips

  • 二重拡張子(例: .pdf.js)のファイルは極めて高い確率で悪意あるファイルであるため、ファイル拡張子の完全表示を常に有効にしておくべきである
  • Google Driveリンクを含むメールであっても、送信者の正当性を必ず確認すること。正規のクラウドサービスが攻撃インフラとして悪用されるケースが増加している
  • メモリのみで動作するマルウェアに対抗するため、EDR(Endpoint Detection and Response)ソリューションの導入を検討すべきである
  • LLMを悪用した高品質なフィッシングメールが増加しているため、従来の「不自然な文面で見分ける」というアプローチだけでは不十分になりつつある

まとめ

Googleが帰属させたこの新たなロシア関連脅威アクターは、技術的には未熟ながらもLLMの活用によって能力を向上させ、ウクライナを中心に広範な組織を標的にしている。CANFAILマルウェアはメモリ上で動作する検出困難な設計であり、二重拡張子やGoogle Driveの悪用など巧妙なソーシャルエンジニアリングと組み合わせて展開されている。AIツールの普及がサイバー攻撃の敷居を下げるという懸念が現実のものとなりつつある今、組織は従来の防御策に加えて、AI生成コンテンツを前提としたフィッシング対策の強化が求められている。

📎 元記事: https://thehackernews.com/2026/02/google-ties-suspected-russian-actor-to.html

コメント

タイトルとURLをコピーしました