コンテンツにスキップするには Enter キーを押してください

ロシア専門家が米国当局者を装ったエリートハッカーの餌食に

投稿日 2025年6月21日

英国のロシア情報操作の専門家であるキア・ジャイルズが、新しいソーシャルエンジニアリング技術を用いた高度なスピアフィッシング攻撃の標的となりました。

英国のシンクタンクであるチャタムハウスのライター兼シニアコンサルティングフェローである彼は、米国国務省職員を装った人物にアプリ専用のパスワードを送信するよう誘導されました。

Googleの脅威インテリジェンスグループ(GTIG)は、Citizen Labと協力してこのケースを調査しました。

この技術大手は、UNC6293として追跡されている脅威アクターにこのキャンペーンを帰属させ、「低い確信度」でこのクラスターがロシアの対外情報庁(SVR)に関連するサイバー諜報グループAPT29に関連していると評価しました。

偽の米国国務省職員からのメール

2025年5月22日、ジャイルズは「クラウディー・S・ウェバー」と名乗る人物からメールを受け取りました。この人物は米国国務省(DoS)のシニアプログラムアドバイザーであると主張していました。

メールの中で、「クラウディー・S・ウェバー」は、送信者とその同僚と「最近のある進展」について話し合うための会議にジャイルズを招待しました。

高い信憑性のある相談シナリオを提供する最初の接触。出典:Citizen Lab
高い信憑性のある相談シナリオを提供する最初の接触。出典:Citizen Lab

このような招待は「彼が受け取ることが一般的である」と、6月18日に公開されたCitizen Labの報告書で述べられています。

しかし、研究者たちは、米国国務省の登録簿や他の場所で「クラウディー・S・ウェバー」を見つけることができなかったと述べました。 

攻撃者は、やり取り全体にGmailアカウント(claudie.s.weber[at]gmail.com)を使用しましたが、メールのやり取りをより信頼性のあるものに見せるために、@state.govで終わる4つの他のメールアドレスをccに含めていました。

「攻撃者は、国務省のメールサーバーがすべてのメッセージを受け入れるように設定されており、アドレスが存在しない場合でも『バウンス』応答を発しないことを知っていると考えています」とCitizen Labの研究者は述べました。

また、メール送信者の一般的なトーンと曖昧さが、攻撃者が大規模言語モデル(LLM)を使用してメッセージを作成したことを示唆している可能性があると評価しました。

アプリ専用パスワードの活用

最初のメールには悪意のあるコンテンツは含まれていませんでしたが、その後のメールには「MS DoSゲストテナント」アカウントに登録するための指示が記載されたPDFファイルが含まれていました。

偽の「MS DoS」PDFは、正当な国務省文書を思わせる多くの視覚要素を備えて作成されました。出典:Citizen Lab
偽の「MS DoS」PDFは、正当な国務省文書を思わせる多くの視覚要素を備えて作成されました。出典:Citizen Lab

そのようなアカウントを作成するために、ジャイルズはGoogleのメールアカウントでアプリ専用パスワード(ASP)を作成する必要があるとされ、これにより相談に参加するための安全な政府リソースにアクセスできるとされました。

「実際には、もちろん、ASPは彼らに彼のアカウントへの完全かつ持続的なアクセスを提供することになります」とCitizen Labの研究者は述べました。

ASPは、ユーザーが作成するパスワードで、多要素認証(MFA)やプラットフォームの標準的なログインワークフローと互換性のない特定のアプリケーションが、MFAが有効になっているオンラインアカウントにアクセスすることを許可します。

GoogleはこれらのアプリをLess Secure Apps(LSA)と呼び、Google Workspacesでのサポートを段階的に廃止しています。しかし、Googleユーザーは個人のGmailアカウントでこれらのパスワードを作成および削除することができます。

高度なスピアフィッシングキャンペーン

やや疑わしく思ったジャイルズは、攻撃者が使用するように意図したものとは異なるアカウントで手続きを進めました。

6月14日、10回以上のメール交換の後、ジャイルズは、彼のアカウントから流出した資料が、将来の情報操作の一環として操作され、選択的に公開される可能性が高いと公に共有しました。

ソーシャルメディアのスレッドで、彼は要求の信憑性を高めた要因の一つとして、「ゆっくりとしたペース」と表現しました。

「攻撃者は、ジャイルズ氏の返信に応じて準備を整え、適応する準備ができていました。例えば、ジャイルズ氏が最初に提案された時間が合わないと述べた後、攻撃者は明示的に圧力や緊急性を加えることを避け、代わりに将来のためにプラットフォームを設定することを提案しました」とCitizen Labの研究者は説明しました。

Googleの緩和策の推奨

その後、Googleは攻撃を特定し、影響を受けたアカウントをロックし、攻撃者のメールを無効にしました。

6月18日に公開された別の報告書で、GTIGは2025年4月に開始され、ウクライナとMicrosoftをテーマにしたASP名を含む別の類似キャンペーンを特定したと述べました。

GTIGの報告書は、以下を含む緩和策の推奨リストを提供しました:

  • 高リスク個人向けに設計されたAdvanced Protection Program(APP)の一部であるアカウントにASPを使用しないこと。このプログラムはASPの作成を許可しません
  • ASPが不要になったら取り消すこと
  • GoogleがASPを作成した際に送信する通知など、アカウントの活動と通知を定期的に監視すること
  • 標的型攻撃の高リスクにある個人向けに、Advanced Protection Programが提供するような強化されたセキュリティ対策を実施すること

翻訳元: https://www.infosecurity-magazine.com/news/russia-expert-elite-hackers-us/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です