皆さん、こんにちは。現役のCSIRTでフォレンジックアナリストとして活動している者です。2025年9月に入り、またしても深刻なAPT(Advanced Persistent Threat:高度持続脅威)攻撃の事例が複数報告されました。
今回は、実際に私たちが現場で目の当たりにしている最新のAPT攻撃事例を元に、企業や個人が今すぐ取るべき具体的な対策について解説していきます。
2025年9月に確認された深刻なAPT攻撃事例
1. TA415(APT41)による米政府機関への標的型攻撃
2025年7-8月にかけて、中国系APTグループTA415(別名:APT41、Brass Typhoon、Wicked Panda)が米国の政府組織、シンクタンク、教育機関を標的とした大規模なフィッシングキャンペーンを展開しました。
この攻撃の巧妙な点は、現職の米国下院中国特別委員会委員長や米中経済協議会会長の名前を騙ったという点です。攻撃者は両国の経済関連情報をルアーとして使用し、Zoho WorkDrive、Dropbox、OpenDriveなどのパブリッククラウドサービスを悪用してパスワード保護されたファイルを配信していました。
攻撃手法の特徴:
- Cloudflare WARP VPNサービスを使用した送信元の偽装
- LNKファイルを含むアーカイブの配信
- OneDrive上での破損PDFファイルによる偽装文書表示
- WhirlCoil Pythonローダーによる永続化
- 2時間に1度の定期実行によるC2通信の維持
2. SEOポイズニング攻撃による中国語圏ユーザーの標的化
Fortinetの研究者が2025年8月に観測した攻撃では、GoogleでDeepL翻訳、Google Chrome、Signal、Telegram、WhatsApp、WPS Officeなどの人気ツールを検索したユーザーが偽装サイトに誘導される手法が確認されました。
この攻撃ではHiddengh0stやWinosの亜種といったマルウェアが配信され、多段階感染チェーンによってJavaScriptからJSONデータをダウンロード、最終的にトロイの木馬化されたインストーラーが実行される仕組みになっています。
3. APT28による「Phantom Net Voxel」オペレーション
ロシア系APTグループAPT28が実行している「Phantom Net Voxel」オペレーションでは、SignalのプライベートチャットでOffice文書を送信する新しい手法が確認されています。
この攻撃の技術的特徴:
- Visual Basicマクロを含むOffice文書の活用
- ステガノグラフィー手法によるPNGファイル内へのシェルコード埋め込み
- CovenantフレームワークとBeardShellバックドアの展開
- KoofrクラウドAPIを使用したC2通信
実際のインシデント現場から見えてきた被害実態
私がこれまでに対応してきた中小企業のAPT攻撃被害事例をいくつかご紹介します(もちろん、守秘義務に配慮して詳細は変更しています)。
事例1:製造業A社の場合
従業員300名の製造業A社では、経理部門の担当者が「請求書確認のお願い」というタイトルのメールを受信。添付されたExcelファイルを開いたところ、マクロが実行され、1か月後に重要な設計図面データが暗号化される被害に遭いました。
被害総額:約2,500万円(システム復旧費用、業務停止による損失、信用失墜による受注減を含む)
事例2:IT企業B社の場合
従業員50名のIT企業B社では、GitHub風の偽サイトからソフトウェアをダウンロードした開発者のPCが感染。攻撃者は3か月間に渡ってネットワーク内に潜伏し、顧客データベース全体を窃取していました。
被害総額:約1,800万円(GDPR違反による制裁金、顧客への損害賠償、システム刷新費用を含む)
今すぐ実施すべき具体的な対策
1. エンドポイント保護の強化
これらの攻撃事例を見ると、従来のパターンマッチング型のアンチウイルスソフトでは検知が困難であることが分かります。特にステガノグラフィーやファイルレス攻撃に対応するためには、行動ベース検知機能を持つアンチウイルスソフト
の導入が不可欠です。
2. ネットワークトラフィックの監視強化
APT攻撃の多くは正規のクラウドサービスやVPNサービスを悪用するため、通常のファイアウォールでは検知が困難です。特に今回の事例ではCloudflare WARPやKoofr APIが悪用されており、信頼できるVPN
を使用して通信経路を保護することが重要になります。
3. Webアプリケーションの脆弱性対策
攻撃者は企業のWebサイトの脆弱性を悪用して初期侵入を果たすケースも多く見られます。特に中小企業では専門的な知識を持つエンジニアが不足しているため、Webサイト脆弱性診断サービス
を定期的に実施し、潜在的な脅威を事前に発見・修正することが重要です。
4. ユーザー教育とフィッシング対策
今回のTA415の事例のように、攻撃者は著名人の名前を騙ったり、業務に関連する内容でユーザーを騙そうとします。従業員に対して以下の点を教育することが重要です:
- 送信者のメールアドレスドメインの確認
- 外部クラウドサービスのリンクに対する慎重な検証
- パスワード保護されたファイルを送信する正当な理由の確認
- Office文書のマクロ実行時の慎重な判断
5. インシデント対応体制の整備
APT攻撃は発見が困難で、発見時には既に広範囲に拡散していることが多いです。以下の体制を整えておくことが重要です:
- インシデント発生時の連絡体制の明確化
- 外部専門機関との連携体制の構築
- 重要データの定期バックアップとリストア手順の確認
- システム隔離手順の策定と訓練
2025年のAPT攻撃トレンドと今後の展望
2025年に入ってから、私たちが現場で確認している攻撃トレンドには以下のような変化があります:
1. AI技術の悪用拡大
HUMANの研究チームが発見した「SlopAds」オペレーションでは、228の国と地域で3,800万回以上ダウンロードされた224超のアプリが、AIをテーマにした偽装を行っていました。今後はAI関連のルアーを使った攻撃がさらに増加すると予想されます。
2. 正規サービスの悪用高度化
攻撃者は検知を回避するため、Cloudflare WARP、各種クラウドストレージサービス、さらにはSignalのようなプライベートメッセンジャーまで悪用するようになっています。これにより従来の境界防御モデルでは対応が困難になっています。
3. ステガノグラフィー技術の普及
画像ファイルやPDFファイル内にマルウェアを隠蔽する手法が一般化しており、従来のファイル検査では検知が困難になっています。
まとめ:継続的な対策の重要性
APT攻撃は日々進化しており、一度対策を講じれば安心というものではありません。特に2025年に入ってからは、正規サービスの悪用やAI技術の活用など、従来の防御手法では対応が困難な攻撃手法が確認されています。
重要なのは以下の3点です:
- 多層防御の構築:単一の対策に依存せず、エンドポイント、ネットワーク、アプリケーション各層での対策を組み合わせる
- 継続的な監視と更新:脅威インテリジェンスを活用し、新しい攻撃手法に応じて対策を更新する
- 人的要素の強化:技術的対策だけでなく、従業員教育とインシデント対応体制の整備を行う
現場のフォレンジックアナリストとして、企業の皆さんには「攻撃を受けない」ではなく「攻撃を受けても被害を最小限に抑える」という考え方で対策を進めていただきたいと思います。
セキュリティ対策は決して「コスト」ではなく、事業継続のための「投資」です。今回紹介した対策を参考に、ぜひ自社のセキュリティ体制を見直してみてください。
