ESETのZoltán Rusnák氏が2025年7月3日に発表した研究によると、ロシア連邦保安庁(FSB)傘下のAPT「Gamaredon」(別名Primitive Bear)がウクライナ政府機関に対するサイバー攻撃を強化している。
Gamaredonは2013年から活動し、ロシア占領下のクリミア地域を拠点とする。2024年を通じて主にスピアフィッシング攻撃を実施し、1日から5日間のキャンペーンで偽の召喚状メールを送信している。
攻撃手法はRAR、ZIP、7z形式のアーカイブファイルやXHTMLファイルを添付し、HTMLスマグリング技術を使用する。新たに6つのツールを開発し、PteroDespair、PteroTickle、PteroGraphin、PteroQuark、PteroStew、PteroBoxを含む。CloudflareサブドメインとTelegramチャンネルを悪用してコマンド・アンド・コントロール(C2)インフラを隠蔽している。
USBとネットワークドライブを武器化し、横方向移動による感染拡大を図る。InvisiMoleとの協力関係も確認されている。
From: 
Russian APT ‘Gamaredon’ Hits Ukraine With Fierce Phishing
【編集部解説】
今回のESET研究報告は、サイバーセキュリティ業界において極めて重要な意味を持っています。Gamaredonの攻撃手法の進化は、単なる技術的な改良を超えて、国家主導のサイバー戦争における戦術の高度化を示しているからです。
特に注目すべきは、Cloudflareトンネルサービスの悪用という点でしょう。Cloudflareは本来、Webサイトの高速化やセキュリティ向上を目的とした正当なサービスですが、攻撃者がその信頼性と無料プランを逆手に取って悪用している実態が明らかになりました。これは、正当なクラウドサービスがサイバー攻撃のインフラとして転用されるリスクを浮き彫りにしています。
Gamaredonの攻撃が「低労力で高効果」を実現している点も見逃せません。従来のサイバー攻撃では高度な技術力が必要とされていましたが、同グループは比較的単純な手法を大量に展開することで成果を上げています。これは、サイバーセキュリティ対策において「量的脅威」への備えが重要であることを示唆しています。
また、USBやネットワークドライブを介した横方向移動という手法は、リモートワークが普及した現代において特に危険性が高まっています。個人デバイスと企業ネットワークの境界が曖昧になる中で、物理的な媒体を通じた感染拡大は従来の境界型セキュリティでは防ぎきれない脅威となっています。
長期的な視点では、このような国家主導のサイバー攻撃の常態化により、企業や政府機関のセキュリティ投資が大幅に増加することが予想されます。特に、ゼロトラストアーキテクチャやAIを活用した脅威検知システムの導入が加速するでしょう。
一方で、正当なクラウドサービスの悪用が増加することで、サービス提供者側にもより厳格な監視体制の構築が求められるようになります。これは、クラウドサービスの利便性と安全性のバランスを取る新たな課題を生み出しています。
【用語解説】
APT(Advanced Persistent Threat)
高度で持続的な脅威。国家や組織が背景にある攻撃グループが、長期間にわたって特定の標的に対して継続的なサイバー攻撃を行う手法である。
スピアフィッシング
特定の個人や組織を狙った標的型フィッシング攻撃。一般的なフィッシングとは異なり、標的の情報を事前に収集し、信頼できる送信者を装った巧妙なメールを送信する。
C2(Command and Control)
攻撃者がマルウェアに感染したシステムを遠隔操作するための通信インフラ。コマンド・アンド・コントロールサーバーとも呼ばれる。
横方向移動(Lateral Movement)
攻撃者が最初に侵入したシステムから、ネットワーク内の他のシステムへと感染を拡大させる手法。
HTML スマグリング – HTMLファイル内にマルウェアを埋め込み、ブラウザ上でJavaScriptを実行してファイルをダウンロードさせる攻撃手法。
VBScript – Microsoftが開発したスクリプト言語。Windowsシステムで動作し、攻撃者がシステム操作やマルウェア実行に悪用することが多い。
PowerShell – Microsoftが開発したコマンドラインシェルおよびスクリプト言語。システム管理に使用されるが、攻撃者にも悪用される。
FSB(ロシア連邦保安庁) – ロシアの国内治安機関。旧KGBの後継組織の一つで、サイバー攻撃活動にも関与しているとされる。
【参考リンク】
ESET(外部)
スロバキアに本社を置くサイバーセキュリティ企業。1992年設立で、世界200以上の国と地域でセキュリティソフトウェアを提供している。
Cloudflare(外部)
CDNやインターネットセキュリティサービスを提供するアメリカの企業。本記事では攻撃者がそのサービスを悪用している事例が報告されている。
Telegram(外部)
ロシア発祥のメッセージングアプリ。エンドツーエンド暗号化機能を持つが、攻撃者がC2通信やプロパガンダ拡散に悪用するケースが増加している。
【参考動画】
【編集部後記】
今回のGamaredon事案を通じて、私たちの身近にあるクラウドサービスが攻撃インフラとして悪用される現実を目の当たりにしました。普段何気なく使っているCloudflareやTelegramといったサービスが、実は両刃の剣であることがわかります。
皆さんの組織では、正当なサービスの悪用をどのように見分け、対策されているでしょうか。また、リモートワーク環境でUSBドライブの管理はどうされていますか。完璧な防御は困難ですが、こうした脅威を知ることで、少しでもリスクを減らせるのではないでしょうか。ぜひ皆さんの経験や対策についてもお聞かせください。
