ロシアの「Fancy Bear」が標的にするMicrosoft製品とは？ 被害拡大を狙う手口：物理的な攻撃にも発展

ロシア政府が首謀するとみられるサイバー攻撃集団の標的が拡大し、物理的な損害にまで発展していることを、米英他20を超える政府機関が共同勧告で明らかにした。サイバー攻撃集団の狙いと、その“定番”の手口とは。

[Alex Scroxton，TechTarget]

　2025年5月、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）、英国家サイバーセキュリティセンター（NCSC）他、20を超えるサイバーセキュリティや国家安全保障に関する政府機関が、共同勧告を発表した。ロシア政府が支援するサイバー攻撃集団が、特定の業界や組織を攻撃対象としているとして、警戒するよう求めるものだ。攻撃の対象や特徴は何か。

拡大する攻撃対象と恐るべき手口

併せて読みたいお薦め記事

国家を背後に据えるサイバー攻撃

• 攻撃者が刑務所入りしてもランサムウェアの脅威がなくならない残念な理由
• 数十億ドルを動かしたロシアのマネロン組織を摘発　国際捜査の成果とは

　共同勧告によると、攻撃対象は欧米の物流企業やIT企業だ。攻撃を展開するのは、ロシアの軍参謀本部情報総局（GRU）の第26165部隊、通称「Fancy Bear」だという。

　Fancy Bearが用いるサイバー攻撃の手法は、以下の通り多岐にわたる。

• ブルートフォース（総当たり）攻撃
  • 可能な限りのパスワードの組み合わせを総当たりで試行する攻撃手法
• スピアフィッシング
  • 特定の個人や組織を狙って、悪意のあるリンクや添付ファイルを開くことを促す攻撃手法
• Microsoftのメールサービス「Exchange Online」の拡張機能「Exchange Web Services」（EWS）の悪用
  • EWSを悪用してメールサーバからデータを盗み取る
• メールクライアント「Roundcube」の脆弱（ぜいじゃく）性の悪用
  • 脆弱性「CVE-2020-12641」「CVE-2020-35730」「CVE-2021-44026」を悪用して不正なアクセスやコード実行を試みる
• VPN（仮想プライベートネットワーク）機器をはじめ、インターネットに接続されているシステムの悪用
  • 標的とした組織への最初の侵入経路としてシステムを悪用する

　一連の攻撃は、ロシアがウクライナへの軍事攻撃を開始した2022年2月から始まった。攻撃当初、Fancy Bearは諜報活動を目的としてサイバー攻撃に関与していた。しかし、ロシア軍の戦況が停滞するにつれ、Fancy Bearは標的を拡大した。その結果、ウクライナの防衛支援や人道支援に関わる組織も対象となった。

　2022年からの3年間で、航空管制、空港、防衛、ITサービス、海運、港湾システムなど、北大西洋条約機構（NATO）加盟国のさまざまな業界がFancy Bearの被害を受けた。

　Fancy Bearは、ウクライナの国境検問所や軍事基地周辺に設置されたネットワークカメラも標的にしている可能性があるとCISAは指摘する。ハンガリー、ポーランド、ルーマニア、スロバキアなどの近隣国でも、同様の攻撃が確認されているという。

　NCSCは、Fancy Bearの攻撃手法を理解し、防御策を講じるよう英国の組織に呼び掛けている。

　NCSCの最高経営責任者（CEO）リチャード・ホーン氏は、英国に対するロシアの物理的脅威とサイバー攻撃の間には「直接的な関係」があると指摘する。英国で発生した放火をはじめとした破壊工作に、ロシアが犯罪組織を介して関わっている可能性を示唆し、「こうした脅威は英国民の人命、インフラ、国家安全保障を危険にさらす」と警告する。

Fancy Bearお得意の戦術は？

　セキュリティベンダーSophosの脅威インテリジェンス部門の責任者、レイフ・ピリング氏は、スピアフィッシングと脆弱性の悪用を使ったメールシステムへの侵入は、Fancy Bearの定番の戦術だと警鐘を鳴らす。

　「ロシア軍が必要とする情報収集の目的が変わるたびに、攻撃対象も変化する」とピリング氏は分析する。続けて、「2022年以降はウクライナと、その支援に関わるNATOの物流、防衛関連企業が主な標的になっている。これは、理にかなった動きだ」と明かす。

　ピリング氏は、ネットワークカメラを通じた情報活動を、「国家主導の攻撃によく見られる戦術」だと評価する。ネットワークカメラを通じた諜報活動を通じて、作戦に物理的な影響を与えることを期待するためだ。物資の種類や、いつ、どの程度の数量が輸送されているのかを把握し、攻撃に役立てるという。

　2022年にイランの製鉄所が攻撃された際も、監視カメラの映像が悪用されたとピリング氏は説明する。この攻撃事例について、同氏は「攻撃の実行時間を計測し、人的被害を避けながら効果的な破壊を狙うために監視カメラを利用した」と話す。

　NCSCは2025年5月に発表した声明の中で、英国のウクライナ支援に対する姿勢は「揺るぎない」と述べる。英国は130億ポンド相当の軍事支援を約束しており、ロシアのエネルギー、金融、軍事システムに関わる組織や個人に、新たに100件の制裁を追加すると発表した。

　この声明は、ロシアが過去最大規模のドローン攻撃をウクライナに仕掛けたことを受けて公開されたものだ。米国大統領ドナルド・トランプ氏は、ロシア大統領ウラジーミル・プーチン氏と電話会談を計画していたが、そのわずか数時間前にロシアが大規模なドローン攻撃を実行した。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。