APT29の水飲み場型攻撃が急増中！デバイスコードフィッシングの巧妙な手口と効果的な対策法

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年8月、Amazonがロシア関連のサイバー攻撃グループAPT29による大規模な水飲み場型攻撃を発見・阻止したというニュースが話題になりました。現役CSIRTアナリストとして多くのサイバー攻撃事例を分析してきた私が、この攻撃の詳細と効果的な対策法を解説します。

APT29とは？ロシア国家支援型ハッキンググループの正体
水飲み場型攻撃の仕組みと実際の被害事例
1. 事例1：製造業A社のケース
2. 事例2：地方自治体B市のケース
デバイスコードフィッシングの巧妙な手口を徹底解剖
1. 攻撃の流れ
個人ユーザーができる効果的な対策
企業が取るべき包括的なセキュリティ対策
1. Webサイトの脆弱性管理
2. インシデント対応体制の整備
Amazonの対応から学ぶベストプラクティス
今後予想される攻撃の進化と対策の方向性
まとめ：今すぐできる対策から始めよう
一次情報または関連リンク

APT29とは？ロシア国家支援型ハッキンググループの正体

APT29は「Midnight Blizzard」「Cozy Bear」「Earth Koshchei」などの呼称でも知られる、ロシア対外情報庁（SVR）との関連が指摘される国家支援型ハッキンググループです。

私がこれまでに調査した事例では、このグループは以下のような特徴を持っています：

長期間に渡る潜伏と情報収集を重視
政府機関や企業の機密情報を標的とする
巧妙な偽装工作で検出回避を図る
最新の攻撃手法を積極的に採用

水飲み場型攻撃の仕組みと実際の被害事例

今回のAPT29による攻撃では、正規のWebサイトにJavaScriptを注入し、訪問者の約10%を攻撃者が制御するドメインにリダイレクトさせる手法が使われました。

実際に私が過去に調査した類似事例では、中小企業のWebサイトが侵害され、以下のような被害が発生しました：

事例1：製造業A社のケース

従業員数50名の製造業A社のコーポレートサイトが侵害され、顧客や取引先がサイトを訪問した際にマルウェアに感染。結果として：

顧客情報約1,200件が流出
システム復旧に約300万円の費用が発生
信頼回復まで6ヶ月を要した

事例2：地方自治体B市のケース

市民向けの情報サイトが水飲み場型攻撃の踏み台に利用され：

市民約8,000人のアクセス端末が感染リスクに晒された
緊急時の情報発信システムが一時停止
復旧と対策費用として約500万円が必要となった

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

デバイスコードフィッシングの巧妙な手口を徹底解剖

今回の攻撃で特に注目すべきは「デバイスコードフィッシング」という新しい手法です。これは、Azure Active Directoryのデバイスコード認証機能を悪用した攻撃です。

攻撃の流れ

侵害されたWebサイトを訪問
「findcloudflare.com」など偽のCloudflare認証ページにリダイレクト
正規のデバイスコードの入力を促される
ユーザーがコードを入力すると、攻撃者がMicrosoftアカウントへのアクセス権を獲得

この手法の巧妙さは、実際に正規のデバイスコードを使用するため、従来のフィッシング対策では検出が困難な点にあります。

個人ユーザーができる効果的な対策

フォレンジック調査の経験から、個人レベルでの最も効果的な対策をご紹介します：

1. 多層防御の構築

信頼性の高いアンチウイルスソフトを導入し、リアルタイム保護機能を有効にしてください。最新のAPT29のような攻撃では、従来のシグネチャベース検出だけでは不十分です。AI技術を活用した行動分析機能を持つセキュリティソフトが特に有効です。

2. ネットワークレベルでの保護

特に公衆Wi-Fi利用時は、信頼できるVPN を使用することを強く推奨します。APT29のような攻撃グループは、通信経路の盗聴も行うため、通信の暗号化は必須です。

3. 認証の際の注意点

予期しない認証要求には応じない
URLを必ず確認する（typosquattingに注意）
多要素認証を必ず有効にする
定期的なパスワード変更とアカウント監査

企業が取るべき包括的なセキュリティ対策

企業レベルでは、より高度な対策が求められます：

Webサイトの脆弱性管理

今回のような攻撃を防ぐためには、自社Webサイトの定期的な脆弱性診断が不可欠です。特に、JavaScriptインジェクション攻撃に対する脆弱性は見落としがちなため、専門的なWebサイト脆弱性診断サービスの利用を検討してください。

私が調査した企業の多くで、以下のような脆弱性が発見されています：

古いCMSやプラグインの使用
不適切な入力検証
セキュリティヘッダーの未設定
定期的なセキュリティ監査の不備

インシデント対応体制の整備

APT29のような高度な攻撃に対しては、迅速な初動対応が被害の拡大を防ぐ鍵となります：

24時間365日の監視体制
インシデント対応手順書の整備
定期的な対応訓練の実施
外部専門機関との連携体制

Amazonの対応から学ぶベストプラクティス

今回のAmazonの対応は、企業のインシデント対応のお手本と言えます：

迅速な発見と隔離：影響を受けるEC2インスタンスを素早く隔離
関係機関との連携：CloudflareやMicrosoftとの情報共有
継続的な追跡：攻撃者の移行先インフラの監視継続

中小企業でも、規模に応じた類似の対応体制を構築することが重要です。

今後予想される攻撃の進化と対策の方向性

APT29のようなグループは常に攻撃手法を進化させています。デバイスコードフィッシングに加え、今後は以下のような攻撃が増加すると予想されます：

AI技術を活用したより巧妙な偽装
ゼロトラスト環境を狙った攻撃
クラウドサービスの設定ミスを狙った攻撃
サプライチェーン攻撃のさらなる高度化

これらの脅威に対応するためには、従来の境界防御だけでは不十分です。ユーザー行動の分析、異常検知、継続的な監視といった包括的なアプローチが必要になります。

まとめ：今すぐできる対策から始めよう

APT29による今回の攻撃は、サイバーセキュリティの重要性を改めて浮き彫りにしました。しかし、適切な対策を講じることで、このような攻撃から身を守ることは可能です。

個人の方は、まず信頼できるアンチウイルスソフトとVPN の導入から始めてください。企業の方は、Webサイト脆弱性診断サービスによる定期的な脆弱性診断を実施し、包括的なセキュリティ体制の構築を進めることをお勧めします。

サイバー攻撃は日々進化していますが、基本的な対策を確実に実施することで、多くの攻撃を防ぐことができます。今すぐ行動を起こし、あなたとあなたの組織を守りましょう。

一次情報または関連リンク

APT29による水飲み場型攻撃に関するSilobreaker報告