Googleの脅威インテリジェンスグループ(GTIG)が、中国・イラン・ロシア・北朝鮮の国家支援型サイバー攻撃者たちが防衛産業基盤(DIB)セクターを組織的に標的としている実態を明らかにした。複数の国家が異なる手法で同一セクターを狙うこの状況は、防衛産業にとって「常時・多方面からの包囲攻撃」であるとGoogleは警告している。
この記事のポイント
- ロシア・北朝鮮・イラン・中国の4カ国に関連する10以上の脅威アクターグループが防衛産業を標的にしている
- 攻撃は「戦場技術」「人材ターゲティング」「エッジデバイス侵入」「サプライチェーン侵害」の4テーマに集約される
- SignalやTelegramの悪用、偽求人キャンペーン、ClickFixソーシャルエンジニアリングなど高度な手法が使われている
ロシア関連の脅威アクター
ロシアに関連するグループは最も多様な攻撃を展開している。APT44(Sandworm)はWAVESIGNバッチスクリプトを使用してSignalやTelegramからのデータ窃取を試みている。TEMP.Vermin(UAC-0020)はVERMONSTER、SPECTRUM、FIRMACHAGENTといった複数のマルウェアを展開。さらにUNC5976、UNC6096、UNC5114といったグループがWhatsAppやRDPの脆弱性を悪用したフィッシングキャンペーンとマルウェア配布を実施している。特に注目すべきは、Signalのデバイスリンク機能を武器化する手法や、ウクライナ軍の軍事プラットフォーム「DELTA」を模倣したAndroidマルウェアの使用である。これらはウクライナ紛争を背景とした戦場技術への直接的な関心を反映している。
北朝鮮関連の脅威アクター
北朝鮮に関連するグループも防衛セクターに積極的な攻撃を仕掛けている。APT45(Andariel)は韓国の防衛企業をSmallTigerマルウェアで標的にしている。APT43(Kimsuky)はドイツや米国の組織を装ったTHINWAVEバックドアを展開し、防衛関連の機密情報を窃取しようとしている。最も巧妙なのはUNC2970(Lazarus)による「Operation Dream Job」キャンペーンで、航空宇宙・防衛セクターの従業員に偽の求人情報を送りつけ、関心を引いた上でマルウェアに感染させる手法を取っている。この「人材ターゲティング」は、技術そのものではなく人間の心理を突く攻撃として特に危険性が高い。
イラン関連の脅威アクター
イランに関連するグループも独自のマルウェアファミリーを駆使して攻撃を行っている。UNC1549(Nimbus Manticore)はMINIBIKE、TWOSTROKE、DEEPROOT、CRASHPADといった多彩なカスタムマルウェアを活用し、防衛産業のネットワークへの侵入を図っている。またUNC6446は履歴書作成ツールを通じてカスタムマルウェアを配布するという、採用プロセスを悪用した巧妙な手法を用いている。イランの攻撃グループは、他国のグループと比較して独自性の高いマルウェア開発に注力している傾向がある。
中国関連の脅威アクター
中国に関連するグループは、より戦略的なアプローチを取っている。UNC3236(Volt Typhoon)は北米の軍事関連ポータルに対する偵察活動を実施しており、直接的な攻撃よりも情報収集フェーズに重点を置いている。UNC6508はREDCapの脆弱性を悪用してINFINITEREDマルウェアを展開している。中国の脅威アクターは、即座の破壊活動よりも長期的なネットワーク内での潜伏と情報窃取を志向する傾向がGTIGの報告書で指摘されている。
4つの攻撃テーマと回避戦術
GTIGの報告書では、これらの攻撃が4つの主要テーマに分類されている。第一に戦場技術への関心で、自律型車両やウクライナ紛争で使用されるドローンが標的となっている。第二に人材ターゲティングで、従業員の直接的なリクルートや採用プロセスの悪用が行われている。第三にエッジデバイスアクセスで、侵害されたネットワーク機器が初期侵入ポイントとして使われている。第四にサプライチェーン侵害で、製造セクターへの攻撃が防衛産業への間接的な侵入経路を生み出している。
さらに攻撃者たちは「単一のエンドポイントや個人に焦点を当てる」ことで、エンドポイント検出・対応(EDR)ツールの検知を回避する高度な戦術を採用している。ClickFixソーシャルエンジニアリングによるMeshAgentリモート管理ソフトウェアの配信も確認されている。
知っておくと便利なTips
- 防衛産業に限らず、Signalなどのメッセージングアプリのデバイスリンク機能には注意が必要。不審なリンク要求は必ず確認する
- 求人メールやLinkedIn経由の接触は、特に防衛・航空宇宙関連の従業員にとって攻撃ベクターになりうる。送信元の真正性を必ず確認する
- エッジデバイス(VPN機器、ファイアウォールなど)のファームウェア更新とパッチ適用を怠らないことが初期侵入の防止に重要
- サプライチェーンリスクの評価として、取引先のセキュリティ態勢も定期的に確認する
まとめ
Googleの脅威インテリジェンスグループの報告書は、防衛産業基盤が4つの主要国家から同時に、かつ多様な手法で攻撃を受けている深刻な実態を浮き彫りにした。ロシアはウクライナ紛争関連の戦場情報、北朝鮮は偽求人による人材ターゲティング、イランはカスタムマルウェア、中国は長期的な偵察活動と、各国がそれぞれ異なるアプローチを取りながらも、防衛産業という共通の標的に集中している。Googleが「常時・多方面からの包囲攻撃」と表現するこの状況に対し、防衛産業のみならず関連するサプライチェーン全体での包括的なセキュリティ対策が急務である。
📎 元記事: https://thehackernews.com/2026/02/google-links-china-iran-russia-north.html
コメント