threat intelligence
脅威の調査

脅威インテリジェンスエグゼクティブレポート – Volume 2025, Number 3

Counter Threat Unit の隔月レポートの今回号では、3 月と 4 月の脅威の動向における主な最新情報について解説しています。
作成者
Threat Research Black Basta ctu featured GOLD REBELLION 人事 北朝鮮 採用詐欺 耐量子暗号

** 本記事は、Threat Intelligence Executive Report – Volume 2025, Number 3 の翻訳です。最新の情報は英語記事をご覧ください。**

エグゼクティブサマリー

Counter Threat Unit™ (CTU) リサーチチームは組織のシステム保護を支援するため、セキュリティ脅威を分析しています。3 月と 4 月の観測に基づき、Counter Threat Unit™ (CTU) のリサーチャーは、世界の脅威動向における以下の注目すべき問題と変化を特定しました。

  • 人事部門のためのサイバーセキュリティの教訓
  • Black Basta からのリークがもたらした戦略的教訓
  • サイバーセキュリティを将来にわたって維持するため、今すぐ始めること

人事部門のためのサイバーセキュリティの教訓

サイバーセキュリティを最優先事項としていない企業部門を攻撃者が標的とする事例が増加しています。

CTU のリサーチャーは、北朝鮮のなりすまし人材による西側組織への潜入という、現在進行中かつ拡大中の活動の調査を続けています。北朝鮮政府には、制裁を逃れるために給与収入を得ること、サイバー諜報活動、暗号通貨を盗むためのアクセス権獲得、脅迫の実行など、複数の目的があります。米国拠点の組織における意識の高まりに反応したのか、NICKEL TAPESTRY のような北朝鮮の国家支援型攻撃グループは、欧州および日本の組織を狙う回数を増やしています。米国人を装うだけでなく、ベトナム人、日本人、シンガポール人などのペルソナを採用し、日本や米国での求人に応募するなりすまし労働者も増えています。

候補者が履歴書通りの人物ではないことを示す兆候としては、デジタル加工されたストックフォト、採用プロセス中に名前や声が変わること、検証不可能な職歴、そして自身のデバイスや仮想デスクトップインフラの使用を要求することなどが挙げられます。応募者が AI を使って写真を加工したり、履歴書を作成したり、面接に参加したりするほか、女性のペルソナを使用する事例も増えています。このような労働者は、一度雇用されると、データや暗号通貨ウォレットを窃取したり、システムにマルウェアを展開したりする可能性があります。人事や採用の専門家にとって、組織を守るためになりすましの候補者を見分けることが不可欠です。

NICKEL TAPESTRY のみならず、GOLD BLADE などのグループも、人事担当者や採用担当者を標的にしています。CTU のリサーチャーは、GOLD BLADE が企業スパイ活動の一環として、人材採用担当者を標的としたフィッシング攻撃を行っていることを確認しました。標的組織の外部求人応募サイトにアップロードされた PDF 形式の履歴書には悪性コードが含まれており、最終的にシステムの侵害が発生しました。この攻撃は、カナダ、オーストラリア、英国の組織に影響を与えました。

CTU のリサーチャーは、フィッシングやソーシャルエンジニアリング攻撃に関連するリスクについて、特に北朝鮮によるなりすまし労働者の危険性について、組織が人事担当者を教育することを推奨しています。また、組織は、疑わしい候補者やその他の悪意のある活動を報告するためのプロセスを確立すべきです。

Checkmark icon for the 'What to do next' sections 次に取るべき行動

採用担当者は、候補者の身元確認を徹底し、採用プロセス中および入社後の本人確認のため、追加の措置を講じる必要があります。

Black Basta からのリークがもたらした戦略的教訓

公開されたチャットログから、Black Basta ランサムウェアの活動の詳細が明らかになりました。

最初にファイル共有サービスを、次に Telegram に投稿された Black Basta のチャットログを分析しましたが、ランサムウェアの動向に関する CTU のリサーチャーの理解が根本的に変わることはありませんでした。しかし、これらのログには、攻撃グループ GOLD REBELLION の活動に関する情報が含まれています。また、組織が優れたサイバー防御を維持することの重要性についても改めて認識させられました。GOLD REBELLION のようなグループが、組織に侵入した後に標的としての価値を評価するための選別を行う場合があるとはいえ、ほとんどのランサムウェア攻撃は依然として無差別に行われます。組織は防御の手を緩めてはいけません。

ランサムウェアや脅迫グループは、自分たちに利益があるとみれば革新的な手法を採用します。たとえば、Anubis は加盟メンバーに通常とは異なる幅広いオプションを提供し、DragonForce はカルテルとしてのリブランディングを試みました。しかし、実績のあるアプローチや戦術も依然として人気があります。リークにより、GOLD REBELLION が、古い脆弱性を悪用してアクセスを得る多くのランサムウェアグループの 1 つであることが確認されました。ゼロデイ脆弱性を特定して悪用するには、技術的スキルとリソースの両方が必要ですが、古い脆弱性に対してパッチが適用されていないシステムが数多く残っている場合、こうした投資は不要です。チャットログはさらに、GOLD REBELLION のメンバーが窃取した認証情報を定期的に悪用してネットワークにアクセスしていたことも示しています。ログには、複数の組織のユーザー名とパスワードが含まれていました。このような攻撃から身を守るため、組織はできるだけ早く脆弱性にパッチを適用し、認証情報を取得する情報窃取ツールからネットワークを保護する必要があります。

GOLD HARVEST のような他のサイバー犯罪グループと同様に、GOLD REBELLION も攻撃においてソーシャルエンジニアリングの手法を使用していました。攻撃者は IT ヘルプデスクの従業員を装い、Microsoft Teams を介して標的に接触しました。チャットログには、これらの攻撃で使用する効果的な手法に関する複数の議論が含まれていました。組織は、ソーシャルエンジニアリングの手口とそれに対抗する方法について、常に最新の情報を把握する必要があります。組織はまた、ソーシャルエンジニアリングが成功した場合でも、第二の防衛線によって攻撃を特定し、阻止できるようにする必要があります。

GOLD REBELLION は 2025 年 1 月以降、暴露サイトに被害組織を掲載していないため、これらのログが公開されたことで活動を停止した可能性があります。しかし、グループのメンバーや加盟メンバーが他のランサムウェア運営に移行したり、単独で攻撃を実行したりする可能性があります。セキュリティ担当者は、チャットログから得られた教訓を、ランサムウェアの脅威に対するより広範な戦いに活かせます。

Checkmark icon for the 'What to do next' sections 次に取るべき行動

重要な侵入手法に対抗するため、進化するソーシャルエンジニアリングの手法を認識し、従業員を教育します。

サイバーセキュリティを将来にわたって維持するため、今すぐ始めること

耐量子暗号に対応した技術に移行するため、組織は今すぐ計画を開始する必要があります。

サイバー脅威から組織を守ることは、今すぐ対処が必要な問題の絶え間ない波に対して堤防を維持し続けるようなものに感じられるかもしれません。量子コンピューティングのように、何年も先のことだと思われる脅威については考えるのを先延ばしにしたくなるかもしれません。しかし、こうした脅威を軽減するには、入念な準備が必要です。

2020 年以降、英国の国家サイバーセキュリティセンター (NCSC) は、量子コンピューティングがもたらす脅威と、脅威への対処方法に関する一連の文書を公開しています。量子コンピューティングが現在の暗号化方式を突破する可能性は高く、組織はポスト量子暗号 (PQC) に対応した技術へのアップグレードを迫られています。このアップグレードは、システムの機密性と完全性を維持する上で不可欠です。技術的な標準化はすでに始まっており、米国立標準技術研究所 (NIST) は 2024 年 8 月に最初の 3 つの関連標準を公開しました

2025 年 3 月には、NCSC が PQC への移行タイムラインに関するガイダンスを公開しました。この情報は主に大規模組織や重要な国家インフラを担う組織を対象としています。中小規模の組織もベンダーからのガイダンスや支援を受けられる可能性が高いですが、それでもこの問題について認識しておく必要があります。PQC への完全な移行期限は 2035 年ですが、暫定的な目標として、2028 年までに移行目標の定義、現状把握、初期計画の策定が、そして 2031 年までに最優先分野での移行開始と計画の見直しが設定されています。ガイダンスでは、主な目標はサイバーセキュリティリスクを増大させることなく PQC を導入することであり、そのためには早期かつ徹底した計画が必要だと述べられています。

ガイダンスは、PQC への移行が多くの組織 (特に古いシステムを含む環境) では大規模な取り組みになることを認めています。また、移行は避けられないことを明言しています。移行が遅れた組織は、量子コンピューティングによる攻撃によってもたらされる重大なリスクにさらされることになります。このガイダンスは英国の組織を対象としたものですが、他国の組織にとっても有用であり、他の主要な技術移行の取り組みにも役立つ可能性があります。

Checkmark icon for the 'What to do next' sections 次に取るべき行動

NCSC のガイダンスを読み、今後 10 年間で PQC が自組織のテクノロジー投資と成長計画にどのような影響を与える可能性があるかを検討してください。

結論

サイバー脅威の動向は常に変動していますが、その変動の多くは予測可能です。この変動は、新しい技術の標準化が異なる種類の脅威を引き起こすことや、攻撃者が古いセキュリティの脆弱性を利用し続けることから生じる可能性があります。脅威インテリジェンスの最新情報を把握することは、セキュリティ戦略計画の重要な要素です。

著者について

Sophos Counter Threat Unit™ (CTU) researchers are recognized authorities in the cybersecurity field, regularly contributing expert analysis to global media, publishing technical analyses for the security community, and presenting about emerging threats at leading security conferences. Backed by Sophos’ advanced security technologies and a broad network of intelligence contacts and partners, the CTU™ plays a critical role in identifying and tracking threat actors and analyzing anomalous activity, uncovering new attack techniques, threats, and major shifts in the threat landscape.

関連記事を読む