ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実 | ScanNetSecurity
2026.07.15(水)

ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実

ロシアによる国家支援型サイバー攻撃は1996年の「Moonlight Maze」が最初といわれている。米国の兵器に関する情報を狙ったサイバーエスピオナージで、現在のAPT攻撃の源流といってもいいかもしれない。

研修・セミナー・カンファレンス セミナー・イベント
Itay Cohen氏
Itay Cohen氏 全 10 枚 拡大写真
 ロシアによる国家支援型サイバー攻撃は 1996 年の「Moonlight Maze」が最初といわれている。米国の兵器に関する情報を狙ったサイバーエスピオナージで、現在の APT 攻撃の源流といってもいいかもしれない。

●カテゴライズが難しいAPT攻撃グループ

 現在、ロシア政府が関与するのは APT28、29 が有名だが、攻撃グループはこれだけではない。「Bare(熊)」の総称でも呼ばれるロシア系グループは無数に存在する。APT 攻撃の分類では FireEye のレポートが有名だが、ロシアの攻撃グループ(アクター)やマルウェアファミリーの全容まではカバーしきれていない。いわゆる APT キャンペーンでは分類できない攻撃者やマルウェアも存在するからだ。

 しかも、国家支援型(ステートスポンサード)攻撃は、国家機関の職員や軍隊が実施するものはむしろ少ない。通常、国家機関や政府が既存の攻撃グループや犯罪組織を利用するか、これらを使ってプロジェクトやグループを組織することも多い。ロシア、中国、北朝鮮のサイバー攻撃グループといっても、その実態は千差万別だ。

 分類や調査が難しい APT 攻撃グループだが、ロシアの APT エコシステムを研究している研究者も少なくない。Itay Cohen 氏と Ari Eitan 氏は、収集したマルウェアサンプルを詳細に分析し、「アクター」「アクターが使うマルウェアファミリー」「アクターの攻撃対象」の3つの情報を軸に Gephi(オープンソースのネットワーク可視化ツール)を用いて「ロシア APT エコシステム」のマップづくりに成功した。Cohen 氏はチェックポイントリサーチのエンジニア。Eitan 氏はマルウェア解析企業 Intezer の副社長だ。

 彼らの分析結果は apt-ecosystem.com というサイトで確認することができる。本稿では 2019 年暮れに AVAR 2019 で行われた二人の講演をもとに、彼らが作りあげた「ロシア APT 地図」を読み解いていく。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  3. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

ランキングをもっと見る
PageTop