概要:増大する脅威と戦術の転換
2025年末を迎え、ロシアの国家支援型ハッカー集団が西側諸国の重要インフラにおいて、設定が不適切なネットワークエッジデバイスへの攻撃を激化させています。これは、従来の脆弱性悪用から、露出した設定不備のデバイスを悪用する戦術への重要な転換を示しています。
Amazon Threat Intelligenceの新たな知見によると、このキャンペーンはロシア連邦軍参謀本部情報総局(GRU)およびSandworm/APT44/Seashell Blizzardクラスターと高い確度で関連付けられています。彼らの目的は、永続的なアクセスを獲得し、認証情報を窃取し、重要システムへのラテラルムーブメントを行うことです。高価なゼロデイ脆弱性やNデイ脆弱性に依存する代わりに、設定不備のルーター、VPNコンセントレーター、リモートアクセスゲートウェイ、ネットワーク管理アプライアンスなどの「低くぶら下がった果実」に焦点を当てています。これにより、運用リスクと検出への露出を減らしつつ、重要ネットワークへの永続的なアクセスと高価値の認証情報という戦略的利益を得ています。
攻撃の手法と標的
Amazonのテレメトリーデータは、2021年から2025年にかけて、このキャンペーンが着実に進化してきたことを示しています。初期段階では、WatchGuardデバイス(CVE-2022-26318)やAtlassian Confluenceの欠陥(CVE-2021-26084、CVE-2023-22518)、Veeamの悪用(CVE-2023-27532)などの既知の脆弱性を悪用していました。しかし、2025年までに、重点は設定不備の顧客ネットワークエッジデバイスへの持続的なターゲティングに決定的にシフトし、それに伴い観測されるゼロデイおよびNデイ脆弱性の悪用活動は減少しました。
主要な標的は、北米およびヨーロッパのエネルギー部門組織と重要インフラプロバイダー、そしてクラウドホスト型ネットワークインフラを持つ組織です。一般的に標的となるリソースには、以下のものがあります。
- エンタープライズルーティングインフラ
- VPNゲートウェイ
- ネットワークアプライアンス
- コラボレーションおよびWikiプラットフォーム
- クラウドベースのプロジェクト管理システム
このキャンペーンは、通信事業者やテクノロジー/クラウドサービスプロバイダーにも及び、北米、西ヨーロッパ、東ヨーロッパ、中東を含む広範な地理的範囲に展開されており、エネルギーサプライチェーンとその主要サービスプロバイダーに重点を置いていることが伺えます。
認証情報の抽出メカニズムは直接観測されていませんが、複数の指標からパケットキャプチャとトラフィック分析が主要な手法であると示唆されています。デバイスの侵害からその後の認証試行までの時間差、デバイスではなく被害組織の認証情報が使用されていること、そしてSandwormの既知のネットワークトラフィック傍受の履歴が、すべて侵害されたネットワークエッジデバイスからの認証データの受動的な収集を示しています。
Amazonは、AWSでホストされている顧客のネットワークアプライアンスソフトウェアを実行しているEC2インスタンスに対する連携した攻撃を報告しており、その根本原因はAWS自体の欠陥ではなく、設定不備にあったと強調しています。
対策と推奨事項
攻撃者によって制御されたIPは、侵害されたEC2インスタンスへの永続的でインタラクティブな接続を維持しており、パケットキャプチャやデータ取得を容易にしているとみられます。盗まれた認証情報はその後、エネルギーユーティリティ、マネージドセキュリティプロバイダー、コラボレーションプラットフォーム、ソースコードリポジトリ、通信事業者などの被害組織のオンラインサービスやインフラに対して再利用されています。
Bitdefenderが報告した「Curly COMrades」活動とのインフラの重複は、より広範なモジュール型のGRUキャンペーンを示唆しています。Bitdefenderは侵害後のホストベースの技術(Hyper-V悪用、カスタムインプラント)に焦点を当てているのに対し、Amazonの可視性は初期アクセスとクラウドピボットに集中しています。この分業は、ネットワークへの侵入に焦点を当てるクラスターと、永続性と回避に焦点を当てる別のクラスターという、確立されたGRUの運用パターンと一致しています。
Amazonは、影響を受けた顧客に通知し、侵害されたEC2リソースの修復を可能にし、ベンダーやパートナーと情報を共有してこの活動の広範な混乱を支援しています。
2026年に向けて、組織は以下の対策を強く推奨されています。
- ネットワークエッジデバイスを積極的に厳重に保護する。
- 露出した管理インターフェースを排除する。
- 強力な認証とセグメンテーションを強制する。
- 認証情報の再利用、デバイス管理ポータルへの異常なアクセス、クラウドおよびオンプレミスサービス全体の不審な認証パターンを密接に監視する。
AWS顧客に対しては、AmazonはIAMの強化、セキュリティグループの厳格化、管理プレーンの隔離、VPCフローログ、CloudTrail、GuardDutyの有効化、および継続的な脆弱性・露出評価のためにAmazon Inspectorを活用することを推奨しています。