Microsoftが2025年7月31日に公開した脅威インテリジェンス報告書により、ロシア連邦保安庁(FSB)センター16に属するAPT(高度持続的脅威)グループ「Secret Blizzard」(別名Turla、Waterbug、Venomous Bear)が、モスクワの外国大使館に対してサイバースパイ活動を実施していることが明らかになった。このキャンペーンは、少なくとも2024年から継続している。
攻撃手法は、ロシア国内のインターネットサービスプロバイダ(ISP)および通信会社内でのadversary-in-the-middle(AitM)ポジションを利用し、カスタムマルウェア「ApolloShadow」を配布する。この手法では、標的デバイスを偽のキャプティブポータル経由でリダイレクトし、証明書検証エラーを表示させることで、ユーザーにカスペルスキーアンチウイルスを装った偽の証明書「CertificateDB.exe」をダウンロードさせる。
ApolloShadowは信頼されたルート証明書をインストールし、悪意のあるウェブサイトを正当なものとして認識させ、長期的な諜報収集のための持続的なアクセスを維持する。さらに「UpdatusUser」というユーザー名で管理者アカウントを作成し、期限のないハードコードされたパスワードで持続的バックドアアクセスを確保する。この作戦は、ロシアの運用調査活動システム(SORM)などの国内傍受システムが重要な役割を果たしていると評価されている。
From: 
Russia’s Secret Blizzard APT Gains Embassy Access via ISPs
【編集部解説】
今回のニュースは、サイバーセキュリティの分野で極めて重要な転換点を示しています。国家レベルでの攻撃手法が、従来の個別標的型攻撃から「インフラそのものの武器化」へと発展していることを明確に示したケースと言えるでしょう。
Secret Blizzard(通称Turla)は25年以上の活動歴を持つ老舗のAPTグループですが、今回Microsoftが初めて確認したのは、ISPレベルでの攻撃能力です。ISP内でのAitM(Adversary-in-the-Middle)ポジションを利用することで、外交官のインターネットアクセスを通じて攻撃を実行する手法を確立しました。
技術的に注目すべき点は、ロシア国内の「SORM(運用調査活動システム)」という合法的傍受システムの活用です。これは本来、法執行機関が合法的に通信を傍受するためのシステムですが、これがサイバー攻撃の基盤として利用されているという構図になります。つまり、政府の正規システムがそのまま攻撃インフラとして機能しているわけです。
ApolloShadowマルウェアの手法も巧妙です。偽のキャプティブポータル(空港やホテルのWi-Fiでよく見るログイン画面)を表示し、Windows標準機能の接続テストを悪用して攻撃を開始します。そしてカスペルスキーの偽証明書を配布することで、デバイスを騙して悪意のあるウェブサイトを正当なものとして認識させ、長期的な情報収集を可能にしています。
このような攻撃の影響範囲は、単なる情報窃取を超えた外交・国際関係への深刻な脅威となります。外交官の通信内容が筒抜けになることで、国家間の機密交渉や情報が漏洩し、国際政治のバランスに影響を与える可能性があります。また、他国の大使館という「治外法権的存在」に対してホスト国のインフラを使った攻撃が行われることで、国際法上の新たな問題も提起されています。
テクノロジーの観点から見ると、この事案は「ゼロトラスト・セキュリティ」の重要性を改めて浮き彫りにしています。従来は「ネットワーク境界を信頼する」前提で設計されていたシステムが、その前提自体が攻撃者によって破綻させられた状況です。今後は、ネットワークインフラ自体を信頼できない前提で、エンドツーエンドの暗号化やVPN経由での通信が必須となるでしょう。
規制面では、各国がインターネットインフラの国家管理を強化する動きが予想されます。一方で、それが更なる監視体制の構築につながるジレンマも抱えています。今回の事案は、「国家によるインフラ支配」という手法が実際に攻撃に利用可能であることを実証したため、各国政府の対応が注目されます。
長期的視点では、この攻撃手法は「国境を超えた情報戦」の新たなステージを示唆しています。物理的な国境線だけでなく、デジタル空間においても「主権的な支配領域」を確保し、それを攻撃基盤として活用する戦略が確立されたことで、サイバー空間における「地政学的な優位性」の概念が変化していく可能性があります。
【用語解説】
APT(Advanced Persistent Threat)
高度持続的脅威と呼ばれるサイバー攻撃の手法である。国家や組織の支援を受けた攻撃者が長期間にわたって標的に潜伏し、継続的に情報収集を行う攻撃形態を指す。
AitM(Adversary-in-the-Middle)
攻撃者が通信の中間に位置して、やりとりされるデータを傍受・改ざんする攻撃手法である。従来の「Man-in-the-Middle攻撃」の現代的な呼称として使用される。
バックドア
システムに意図的に残された隠れた侵入経路のことである。攻撃者が再度アクセスする際の裏口として機能し、長期的な潜伏活動を可能にする。
キャプティブポータル
Wi-Fi接続時にホテルや空港などで表示される認証ページのことである。ユーザーがインターネットアクセス前に通過する必要があるウェブページを指す。
TLS/SSL
インターネット通信を暗号化する標準的なセキュリティプロトコルである。HTTPS通信における暗号化技術の基盤となっている。
UAC(User Access Control)
Windowsに搭載されているセキュリティ機能である。アプリケーションが管理者権限を要求する際にユーザーに確認を求むダイアログを表示する。
EDR(Endpoint Detection and Response)
エンドポイントでのサイバー攻撃を検出し、対応するセキュリティソリューションである。従来のアンチウイルスより高度な脅威検知能力を持つ。
SORM(System for Operative Investigative Activities)
ロシアの運用調査活動システムで、法執行機関が合法的に通信を傍受するための国内監視システムである。今回の攻撃ではこのシステムが悪用されたと評価されている。
【参考リンク】
Microsoft Security Blog(外部)
Microsoft社が発表する最新のセキュリティ脅威情報や対策技術に関する公式ブログ
CISA(外部)
アメリカ合衆国のサイバーセキュリティ・インフラセキュリティ庁の公式サイト
Microsoft Defender(外部)
Microsoft社が提供するエンドポイントセキュリティソリューション
【参考記事】
Frozen in transit: Secret Blizzard’s AiTM campaign against diplomats(外部)
Microsoftが発表したSecret BlizzardのAitM攻撃キャンペーンに関する詳細な技術報告書
Russia-affiliated Secret Blizzard conducting ongoing espionage campaign(外部)
CyberScoopによるSecret Blizzardの大使館攻撃の詳細分析記事
Microsoft: Kremlin monitors foreign embassies in Moscow(外部)
The Recordによる分析、Turlaがロシアのネットワークインフラを利用する手法解説
Russia-linked Secret Blizzard targets foreign embassies(外部)
Security Affairs誌によるApolloShadowマルウェアの感染チェーンと防御策解説
【編集部後記】
今回のSecret Blizzardの事案を見て、皆さんはどのように感じられたでしょうか。「まさか国家がインフラ自体を武器にしている」なんて、普通は考えもしませんよね。VPNの必要性は以前から言われていましたが、今回の事案でその重要性がより現実的に感じられました。
海外出張や旅行の際、現地のWi-Fiやネット回線を使う機会は多いかと思います。今回の記事を読んで、皆さんはどのような感想を持たれたでしょうか。また、海外でのネット接続時どんな点に気をつけていらっしゃいますか?ぜひSNSで、皆さんの「海外ネット接続時の対策」を教えてください。一緒に学び合えればと思います。
