** 本記事は、Threat Intelligence Executive Report – Volume 2025, Number 4 の翻訳です。最新の情報は英語記事をご覧ください。**
Counter Threat Unit™ (CTU) リサーチチームは組織のシステム保護を支援するため、セキュリティ脅威を分析しています。5 月と 6 月の観測に基づき、Counter Threat Unit™ (CTU) のリサーチャーは、世界の脅威動向における以下の注目すべき問題と変化を特定しました。
- 攻撃グループの名称統一が課題となっている
- イランが米国に対し、報復すると脅す
- 法執行機関が嘲笑を戦術として採用
攻撃グループの名称統一が課題となっている
攻撃グループ名の命名規則を整合させることは、簡単ではありません。セキュアワークスは、攻撃グループの名称に関する包括的な「ロゼッタストーン」を、2020 年から公開しています。
攻撃グループの命名には、セキュリティ専門家が特定の攻撃パターンを迅速に理解して識別し、過去の活動と現在のインシデントとの関連付けを支援する目的があります。攻撃グループ名という情報をもとに、攻撃者の能力や意図の把握、対応の決定に必要な情報の取得、帰属の特定、精度の高いリスクモデルの構築などが可能になります。また、脅威の種類や範囲、攻撃が発生した経緯に関する具体的な指針も提供されます。
攻撃グループの命名に複数の規則が存在するのは、ベンダー各社が自社ブランドを脅威インテリジェンスに押し付けたいからだけではありません。個々のベンダーの観察結果に基づいて名前が付けられていることも原因です。ベンダー 2 社が同じ活動を観察した場合、攻撃グループ名をマッピングすることは可能ですが、必ずしもそう簡単ではありません。
6 月初旬、Microsoft と CrowdStrike は、攻撃グループの命名規則の整合化を発表しました。このようなマッピングは、セキュリティコミュニティにとって有益なものです。2020 年、セキュアワークスは、他のベンダーが使用する攻撃グループ名に攻撃グループをマッピングするための「ロゼッタストーン」を組み込んだ、攻撃グループプロファイル (リンク先:英語) の公開を開始しました (このロゼッタストーンは継続的に更新されます)。CTU のリサーチャーは現在、セキュアワークスの攻撃グループ名とソフォスの攻撃活動クラスター番号の整合化に取り組んでいます。
1 対 1 のマッピングを維持することは容易ではなく、正確性を確保するには継続的な監視と再調整が必要です。攻撃グループは協力し合ったり、TTPs (戦術、手法、手順) や目的を変更したりする可能性があります。また、ベンダーの観測範囲も変化する可能性があります。それでも、Microsoft と CrowdStrike による発表は、この取り組みが連携の範囲を拡大するための試みの出発点であることを示唆しています。
この整合性を実現しつつ、独自のテレメトリと知的財産を保護することは困難でしょうが、アナリスト主導の衝突回避が不可欠です。この取り組みに他のベンダーが参加するかどうかは不明で、Microsoft の発表では Google/Mandiant と Palo Alto Networks Unit 42 が言及されていますが、CrowdStrike では言及されていません。Microsoft の暫定リストには、セキュアワークスのものを含むより広範なベンダーの攻撃グループ名が記載されています。
 |
次に取るべき行動
脅威インテリジェンスを読む際には、セキュアワークスの攻撃グループのプロファイルを参照して、個々の攻撃グループのタスクや TTP についての理解を深めてください。 |
イランが米国に対し、報復すると脅す
イスラエルによるイランへの攻撃を米国が支援したことで、イランの攻撃者による米国への攻撃が増加するリスクが高まる可能性があります。
2025 年 6 月にイスラエルがイランの核施設と軍事施設に対する軍事攻撃を開始してから 1 週間を少し過ぎた頃に、米国はイランの核計画を対象とした一連の標的型空爆を実施しました。米国の攻撃は限定的で、イランはカタールの米軍基地にミサイルを発射して応酬しましたが、イラン政府はその後、米国に対するさらなる報復措置を講じる意向を表明しています。
イスラエルによる攻撃と、イランの主要な軍事指導者や科学者の暗殺は、数十年に及ぶ敵対関係のさらなる悪化を象徴する出来事でした。この紛争では長年、イランがイスラエルを攻撃するグループ (ヒズボラ、フーシ派、ハマスなど) に武器や訓練を提供してきた代理戦争が続いてきました。両国間ではサイバー攻撃も継続的に発生しています。米国はこれまでも、イランのサイバー攻撃や影響工作の標的となってきました。
示唆されている報復措置が、どのような形態をとり、いつ実行されるのかは不明です。たとえば、2020 年 1 月の米軍ドローン攻撃でイランのイスラム革命防衛隊 (IRGC) コッズ部隊の将軍が殺害された後、イランは報復を宣言し、イラクの米軍基地に対しミサイル攻撃を実施しました。しかし、一部で懸念されていたように、西側諸国に対する目立ったサイバー攻撃や物理的攻撃は実施されませんでした。
米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) と関連機関は、考えられるイランのサイバー報復攻撃の形態を説明するファクトシートを発表しました。イランや親イランの攻撃者は、Web サイト改ざん、データ消去マルウェア (ワイパー)、ランサムウェア、DDoS (分散型サービス拒否) 攻撃に関与していることが確認されています。この文書は、防衛産業基盤 (DIB) 企業、特にイスラエルと関連のある DIB 企業のリスクを指摘しています。リスクが高まったことで、イランが米国やイスラエルの利益を支援していると見なす中東の組織にも影響を及ぼす可能性があります。ファクトシートでは、イスラエル製のオペレーショナルテクノロジー (PLC など) を使用する米国などの施設を標的とした、親イランのハクティビストがこれまで行ってきたキャンペーン (リンク先:英語) が言及されています。イランは以前と比較して、これらの破壊的攻撃における政府の関与を隠蔽する目的で、Cyber Av3ngers のような偽のハクティビスト名を使用することが増えています。
イランの報復の標的となる可能性のある組織は、警戒を強め、適切なサイバー対策を講じていることを確認する必要があります。この助言は、米国やイスラエルの利益を支援しているとイランが見なす可能性のある米国の組織および中東の組織にも同様に適用されます。
|
次に取るべき行動
イランおよび同国がもたらす脅威に関する CISA の出版物を確認してください。 |
法執行機関が嘲笑を戦術として採用
サイバー犯罪者に対処する方法として、逮捕や摘発の後に笑いものにするというのは驚くほど効果的なようです。
世界の法執行機関は、サイバー犯罪の摘発に引き続き力を入れています (リンク先:英語) が、すべての措置が持続的に効果をもたらしているわけではありません。たとえば、Microsoft と米国司法省は 2025 年 5 月下旬に連携作戦を実施し、最も広範な情報窃取マルウェアの一つである LummaC2 に関連する 2,300 件超のドメインの差し押さえと摘発に成功しました。しかし、LummaC2 は短時間で運営を再開しました。CTU のサンドボックスは 6 月中も LummaC2 の検体を収集し続け、コマンドアンドコントロール (C2) サーバーは通常通り応答しました。CTU のリサーチャーはまた、2024 年 5 月の法執行機関による摘発を生き延びた Smoke Loader によって、6 月に LummaC2 が第2段階のペイロードとして配信されるのを観察しました。さらに、2025 年 5 月と 6 月にアンダーグラウンドフォーラムで売りに出された LummaC2 のログの数は増加し続けました。
逮捕と有罪判決は個々の攻撃者には影響を及ぼしますが、サイバー犯罪活動を必ずしも抑止するわけではありません。5 月、イラン国籍の Sina Gholinejad は、2019 年から 2024 年にかけて RobbinHood ランサムウェア攻撃を実行した罪で米国で有罪を認め、最長 30 年の懲役刑に処される可能性があります。6 月下旬、フランス警察は、2 月に BreachForums の黒幕「IntelBroker」が逮捕された後、同サイバー犯罪フォーラムの運営者 4 人を逮捕しました。しかし、BreachForums は新たな所有者の下で運営を再開しました。
常に逮捕できるわけではありません。米国は、米国の法執行機関の管轄外にある国に居住するサイバー犯罪者や国家支援の攻撃者を定期的に起訴しています。たとえば、36 歳のロシア人 Vitaly Nikolaevich Kovalev は、5 月にドイツの法執行機関によって Conti と TrickBot の運営に関与したとして特定されました。この人物は 2012 年に米国で銀行詐欺の容疑で起訴されましたが、現在もロシアで逃亡中です。
攻撃者を笑いものにし、不信感を抱かせることに効果があることが、すでに証明されています。LockBit ランサムウェアを標的とした Operation Cronos の主な目標は、LockBit 管理者の Dmitry Khoroshev の評判を損なうことでした。Khoroshev はロシア在住であるため、米国当局は逮捕することができません。法執行機関による嘲笑の影響によって加盟メンバーの数が大幅に減少したため、Khoroshev は加盟メンバーの参加料金を下げ、加盟メンバーの審査を廃止せざるを得なくなりました。CTU のリサーチャーは、アンダーグラウンドフォーラムで複数の攻撃者が Khoroshev への軽蔑を示しているのを確認しています。
LockBit の被害組織数が月数百から一桁台に激減したにもかかわらず、すべてのグループによるランサムウェア攻撃の総数は引き続き増加しています。短期的な混乱でもグループの運営を妨害して被害組織を減少させる効果はありますが、企業・組織はランサムウェアなどの金銭的動機に基づく攻撃から身を守り続ける必要があります。
|
次に取るべき行動
LummaC2 などの一般的な情報窃取マルウェアは、ランサムウェア攻撃の前兆となる場合が多いため、これらを確実に検出できるようにしてください。 |
結論
組織が脅威の状況を認識することは、サイバー脅威に対する防御に不可欠です。脅威がサイバー犯罪者によるものか、国家の支援を受けた者によるものかにかかわらず、組織が直面するリスクを正確に評価するためには、多様な情報源から正確な脅威インテリジェンスをタイムリーに取得することが必要です。意義のある帰属分析は、防御側の組織が適切かつ効果的に対応する上で役立ちます。
