進化ではなくスケール、Claude Code悪用しプロセスの8~9割を自動化 ほか [Scan PREMIUM Monthly Executive Summary 2025年11月度] | ScanNetSecurity
2026.01.22(木)

進化ではなくスケール、Claude Code悪用しプロセスの8~9割を自動化 ほか [Scan PREMIUM Monthly Executive Summary 2025年11月度]

 まず、米ジェン・デジタル社は、ロシアの Gamaredon と北朝鮮の Lazarus が「共通のインフラ」を利用していることを指摘し、両者が協調した活動の可能性を報告しました。これらからは、中露朝における APT の関係性が、従来の地政学的同盟構造では整理しきれない段階に入り、協力と競合が折り重なりあう多層性を帯びていることが読み取れます。

脆弱性と脅威 脅威動向
670 views
facebookLINE
https://www.gendigital.com/blog/insights/research/apt-cyber-alliances-2025
https://www.gendigital.com/blog/insights/research/apt-cyber-alliances-2025 全 1 枚 拡大写真

 Scan PREMIUM Monthly Executive Summary は、大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理にたずさわる方々や、事業部長、執行役員、取締役、経営管理、セキュリティコンサルタントやリサーチャーに向けて毎月上旬に配信しています。

 前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的としており、分析を行うのは株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏です。Monthly Executive Summary の全文は昨日朝 6 時 1 分に配信した Scan PREMIUM 会員向けメールマガジンに掲載しています。

>>Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針
>>岩井氏 インタビュー記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」

【前月総括】

 11 月のサイバー情勢は、静かなようで実際は「冬眠前のクマ」のように激しく動いているようです。表面上は大きな事件が少ない印象もありますが、その裏側では地政学的リスクと攻撃インフラの構造変化を示す重要な兆候が報告されています。また、AI を活用したサイバー攻撃が複数確認され始めている中で、APT の一連の操作を自律的に行う事例が報告されるなど、サイバー動向は新たな局面を迎えようとしています。

● 中露北朝鮮、従来の同盟構造で整理しきれない段階に

 まず、米ジェン・デジタル社は、ロシアの Gamaredon と北朝鮮の Lazarus が「共通のインフラ」を利用していることを指摘し、両者が協調した活動の可能性を報告しました(ただし本報告は共有 C2 と URL 構造のインフラにおける重複を指摘したもので、IP 以外の強い技術的リンクは提示されておらず確度の高いものではありません)。

 この背景として、2024 年 11 月に署名された露朝包括的戦略パートナーシップ条約が一定の影響を及ぼした可能性は否定できず、北朝鮮がサイバー分野でも対外協力を強めつつある状況がうかがえます。中国との関係でも Kimsuky の業務に中国関係者が関与していた可能性が研究者により指摘されるなど、北朝鮮が複数国とのサイバー協働の兆しが見られます。

 一方で、中国とロシアの関係はさらに複雑です。両国の軍事協力が深まりつつあるものの、サイバー領域では必ずしも協調的ではなく、中国がロシア企業を標的とする攻撃が散見されます。例えば、APT31 が 2024 ~ 2025 年にかけてロシア組織へ攻撃を展開した事例 [1] や、Jewelbug(別名 Earth Alux)がロシアの IT 企業に侵入した事例 [2] など、むしろ「隣り合うクマの小競り合い」のような様相すらあります。

 これらからは、中露朝における APT の関係性が、従来の地政学的同盟構造では整理しきれない段階に入り、協力と競合が折り重なりあう多層性を帯びていることが読み取れます。

● ボットネット等と並ぶ攻撃インフラ「 ORB ネットワーク」

 また、もう一つの動きが「ORB(Operational Relay Box)ネットワーク」の台頭です。ORBネットワークとは、他人の機器(IoT 機器やルータなど)を乗っ取って作った、攻撃専用の巨大プロキシネットワークのことです。奇安信X実験室による ORB ネットワークを基盤としたマルウェア群「PolarEdge」に関する分析報告では、その中核コンポーネントである中継システム「RPX_Client / RPX_Server」の存在を明らかにしました。

 RPX は、感染した IoT 機器側で動作する RPX_Client と、クラウド VPS 上で動く RPX_Server から成るリレー(プロキシ)システムで、攻撃者や他のマルウェアを SOCKS/Trojan などのプロキシとして利用することが可能です。この発見により、PolarEdge が単なる IoT ボットネットではなく、「Infrastructure-as-a-Service(IaaS)型のボットネット」を提供する高度な犯罪インフラであることが判明しました。

 ORB ネットワークは、各国 CSIRT や ENISA、IPA などの政府系機関も明示的に警戒対象として扱い始めています。2025 年は PolarEdge のほか「 LapDogs [3]」や「 Operation WrtHug [4]」など複数の ORB ネットワークを利用した攻撃キャンペーンが報告されており、中国を拠点とする攻撃者にとって ORB はすでに「新潮流」ではなく「新標準」になりつつあります。

 他国 APT への波及や、サイバー犯罪インフラへのさらなる一般化を勘案しますと、ORB ネットワークは「ボットネット」「住宅用プロキシ」と並ぶ攻撃インフラカテゴリとして広がる可能性も見込まれます。

《株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 大崎市が情報公開により提供した PDF ファイルの黒塗り加工が特定の操作で除去可能

    大崎市が情報公開により提供した PDF ファイルの黒塗り加工が特定の操作で除去可能

  2. 関西総合システムにランサムウェア攻撃、クラウドサービスへの影響はなし

    関西総合システムにランサムウェア攻撃、クラウドサービスへの影響はなし

  3. Linux カーネルでの TLS プロトコル通信処理の不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

    Linux カーネルでの TLS プロトコル通信処理の不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

  4. デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

    デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

  5. ホリプロ実施の「ミュージカル『ジキル&ハイド』製作発表オーディエンス募集」の申込受付用フォームで個人情報が閲覧可能に

    ホリプロ実施の「ミュージカル『ジキル&ハイド』製作発表オーディエンス募集」の申込受付用フォームで個人情報が閲覧可能に

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP