innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

ロシアのFancy Bear、ウクライナ支援物流組織を標的に – 21カ国が共同警告、メールサーバー攻撃で情報窃取

ロシアのFancy Bear、ウクライナ支援物流組織を標的に - 21カ国が共同警告、メールサーバー攻撃で情報窃取 - innovaTopia - (イノベトピア)

Last Updated on 2025-05-22 09:35 by admin

2025年5月21日、米国、英国、カナダ、ドイツ、フランス、チェコ共和国、ポーランド、オーストリア、デンマーク、オランダの21の政府機関が共同で、ロシアのサイバースパイ組織「Fancy Bear」(APT28、Forest Blizzard、GRU軍事ユニット26165)による大規模なサイバー攻撃について警告を発表した。

この攻撃は2022年のロシアによるウクライナ侵攻開始以降継続しており、ウクライナに輸送や外国援助を提供する西側諸国やNATO加盟国の物流プロバイダー、テクノロジー企業、政府組織「数十」を標的にしている。被害組織は航空、海上、鉄道といったほぼすべての輸送モードに及んでいる。

Fancy Bearは認証情報の推測、スピアフィッシング、Microsoft Exchangeメールボックス権限の悪用などの手法を用いて侵入し、Microsoft Outlook(CVE-2023-23397)、Roundcube(CVE-2020-12641、CVE-2020-35730、CVE-2021-44026)、WinRAR(CVE-2023-38831)などの脆弱性も悪用している。また、Windows Print Spoolerの脆弱性(CVE-2022-38028)を悪用してGooseEggマルウェアを配布していたことも最近明らかになっている。

侵入後は組織内の偵察活動を行い、ウクライナへの輸送調整担当者の監視や、列車スケジュール・出荷明細書などの輸送情報を収集している。また、ウクライナ国境検問所のインターネット接続カメラも標的にして援助物資の輸送を追跡し、鉄道管理用の産業制御システム(ICS)コンポーネント生産組織に対する偵察も行っている。

攻撃にはHeadlaceバックドア、Masepie、OCEANMAP、STEELHOOKなどのマルウェアが使用され、Exchange Web Services(EWS)やInternet Message Access Protocol(IMAP)などのプロトコルを利用してメールサーバーからデータを窃取している。

この警告は、民間調査会社Esetが2025年5月中旬に発表した、同グループがウクライナのウェブメールサーバーを標的にしているという警告に続くものである。セキュリティ専門家は物流・テクノロジー企業に対し、監視と脅威ハンティングの強化を呼びかけている。

References:
文献リンク Russia’s Fancy Bear swipes a paw at logistics, transport orgs’ email servers

【編集部解説】

ロシアのサイバースパイ組織「Fancy Bear(APT28/Forest Blizzard)」による西側諸国の物流・輸送組織へのサイバー攻撃について、複数の情報源から詳細が明らかになりました。この事案は単なるサイバー攻撃の一例ではなく、現代の地政学的紛争がデジタル空間にどのように拡大しているかを示す重要な事例です。

まず注目すべきは、この警告が21の政府機関による共同声明という形で発表されたことです。米国のCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)、NSA(国家安全保障局)、FBI(連邦捜査局)をはじめ、英国のNCSC(国家サイバーセキュリティセンター)など、西側諸国の主要なサイバーセキュリティ機関が一致団結して警告を発しています。これほど多くの国が共同で警告を発することは珍しく、脅威の深刻さを物語っています。

Fancy Bearの標的となった組織は「数十」と報告されていますが、その範囲は当初の記事で示されていた以上に広範囲です。防衛産業、輸送・交通ハブ(港湾、空港など)、海事関連、航空交通管理、ITサービスなど多岐にわたります。また地理的にも、ウクライナだけでなく、ブルガリア、チェコ共和国、フランス、ドイツ、ギリシャ、イタリア、モルドバ、オランダ、ポーランド、ルーマニア、スロバキア、米国など13カ国に及んでいることが確認されています。

特に注目すべきは、この攻撃キャンペーンが単なる情報収集にとどまらず、ウクライナへの支援物資の流れを監視・追跡することを目的としている点です。国境検問所のカメラを標的にしたり、鉄道管理用の産業制御システム(ICS)コンポーネントの生産に関わる組織に対する偵察活動を行ったりするなど、物理的な支援活動の妨害につながる可能性のある活動も含まれています。

英国のNCSC(国家サイバーセキュリティセンター)の運用ディレクターであるPaul Chichester氏は、「このロシア軍情報機関による悪意のあるキャンペーンは、特にウクライナへの支援提供に関わる組織にとって深刻なリスクをもたらします」と警告しています。

また、この攻撃キャンペーンは2022年のロシアによるウクライナ侵攻開始時から続いていますが、ロシアが当初の軍事目標を予定通りに達成できなかったことから、ウクライナ防衛への支援・援助提供に関わる組織へと標的を拡大したと分析されています。これは、サイバー攻撃が軍事作戦の補完的役割を担っていることを示しています。

Fancy Bearの攻撃手法は時間とともに進化しており、2024年初頭には「車売ります」という広告を使った外交官を標的とするフィッシング攻撃や、Microsoft Windowsの「search-ms:」URIプロトコルハンドラを悪用した攻撃なども確認されています。また、2024年2月には米国とドイツに存在するSOHOルーターで構成されたボットネットが法執行機関により破壊されましたが、これはFancy Bearが悪質な活動を隠すために使用していたものでした。

特に懸念されるのは、攻撃者が標的組織のビジネス関係を利用して、信頼関係を悪用し、さらなるアクセスを獲得しようとしている点です。サプライチェーン全体が危険にさらされる可能性があります。

このような状況に対して、組織はどのように対応すべきでしょうか。セキュリティ専門家は、特に物流・テクノロジー企業に対し、Fancy Bearの攻撃手法(TTP)や侵害の兆候(IOC)に対する監視と脅威ハンティングの強化を呼びかけています。また、「標的にされることを前提としたネットワーク防御態勢」の構築が推奨されています。

今回の事例は、現代の地政学的紛争においてサイバー空間がいかに重要な戦場となっているかを示しています。物理的な戦闘と並行して、情報収集や支援活動の妨害を目的としたサイバー攻撃が組織的に行われており、国家間の対立が多次元化していることを実感させられます。

企業や組織にとっては、自社がどのような地政学的文脈に位置しているかを理解し、それに応じたセキュリティ対策を講じることがますます重要になっています。特に国際的な支援活動や重要インフラに関わる組織は、国家支援のサイバー攻撃の標的となる可能性を常に念頭に置く必要があるでしょう。

【用語解説】

APT28(Fancy Bear):
ロシア連邦軍参謀本部情報総局(GRU)に所属する軍事ユニット26165のサイバー攻撃グループ。「Fancy Bear」「Sofacy Group」「BlueDelta」「Strontium」「Forest Blizzard」「FROZENLAKE」「Iron Twilight」「Pawn Storm」「Sednit」「TA422」など複数の別名を持つ。2000年代半ばから活動が確認されており、主にNATO諸国の政府機関や軍事組織を標的にしている。2016年の米国大統領選挙干渉や2018年の平昌オリンピックを狙った攻撃などに関与したとされる。

GRU:
ロシア連邦軍参謀本部情報総局の略称。ロシアの軍事情報機関であり、諜報活動やサイバー攻撃を担当している。GRU配下の26165部隊(APT28)と74455部隊(Sandworm)が特に有名。

スピアフィッシング:
特定の個人や組織を標的にした、カスタマイズされたフィッシング攻撃。一般的なフィッシングよりも成功率が高い。

HeadLace:
APT28が使用するWindowsバックドアマルウェア。段階的に実行されるモジュール型マルウェアで、検出を防止するように設計されている。感染すると攻撃者にシステムへのアクセス権を与え、追加のマルウェアをダウンロードできる。

Masepie:
APT28が使用するPythonベースのマルウェア。ファイル転送やコマンド実行機能を持ち、AES-128-CBC暗号化を使用してデータを暗号化する。

OCEANMAP:
C#ベースのバックドア。IMAPプロトコルを使用して電子メールのドラフトに隠されたBase64エンコードされたコマンドを受信・実行する。

GooseEgg:
APT28が使用するマルウェアで、Windows Print Spoolerの脆弱性(CVE-2022-38028)を悪用して配布される。SYSTEMレベル権限を取得し、コマンドラインから他アプリケーションを起動する機能を持つ。

EWS(Exchange Web Services):
Microsoft Exchange Serverの機能の一つで、外部のソフトウェアからExchange Serverにアクセスしてメールやカレンダーなどを操作できるAPI。

IMAP(Internet Message Access Protocol):
電子メールを受信するためのプロトコル。メールサーバー上でメールを管理し、必要に応じてダウンロードする仕組み。

【参考リンク】

CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)(外部)
米国の重要インフラを保護するための連邦政府機関。サイバーセキュリティに関する警告や対策情報を提供している。

NCSC(英国国家サイバーセキュリティセンター)(外部)
英国のサイバーセキュリティを担当する政府機関。APT28などの脅威に関する情報を公開している。

CERT-UA(ウクライナコンピュータ緊急対応チーム)(外部)
ウクライナのサイバーセキュリティインシデントに対応する政府機関。APT28の攻撃に関する警告を発している。

Microsoft Security Response Center(外部)
マイクロソフト製品のセキュリティ脆弱性に関する情報と対策を提供している。

Palo Alto Networks Unit 42(外部)
APT28などの高度な脅威に関する詳細な分析レポートを公開している研究チーム。

【参考動画】

【編集部後記】

皆さんの組織では、国家支援型サイバー攻撃への対策はどのように進めていますか?今回のFancy Bearの事例は、サイバー空間が現代の地政学的紛争の最前線になっていることを示しています。自社のビジネスが国際情勢とどう関わるか、一度考えてみる機会かもしれません。「自分たちは標的にならない」と思っていても、取引先を通じた間接的な攻撃も増えています。特に最新の脆弱性(CVE-2023-23397やCVE-2022-38028など)への対策状況を確認し、セキュリティアップデートを適用することが重要です。明日は我が身、という意識でセキュリティ対策を見直してみませんか?

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ロシアのFancy Bear、ウクライナ支援物流組織を標的に – 21カ国が共同警告、メールサーバー攻撃で情報窃取

Latest News