フランス政府は、政府機関、外交機関、国防関連組織を標的とした長期にわたるサイバースパイ活動について、ロシア連邦保安庁(FSB)第16センター(通称:軍部隊71330)と関連する侵入グループ「Turla」の犯行であると公式に認定しました。
フランス当局によると、この作戦は2010年代からフランス国内の各機関に影響を及ぼしており、省庁、外交機関、国防関連団体、司法機関、テクノロジー企業などが被害に遭っています。
標的の選定傾向を見ると、金銭目的のサイバー犯罪ではなく、公式な通信、戦略的ネットワーク、機密情報へのアクセスを狙った持続的な諜報活動であることがうかがえます。
ComputerSecurity
ANSSI(国家情報システムセキュリティ庁)、COMCYBER(サイバー防衛司令部)、DGA(装備総局)、DGSE(対外治安総局)、DGSIが参加するサイバー危機対応調整センター(C4)は、FSB第16センターがTurlaを運用していると評価しています。
フランス外務省は、FSBがフランス軍事省当局者のメールアカウントを特に標的にしていたことを明らかにし、今回の作戦をフランスの国益に対する悪意ある活動であると位置づけました。
Turlaは、セキュリティ業界ではSnake、Uroburos、Secret Blizzardなどの別名でも追跡されており、少なくとも2004年から活動しているサイバースパイ集団です。
攻撃者は独自開発のインプラントと広く出回っている攻撃ツールを組み合わせることで、Windows、Linux、macOS環境へのアクセスのほか、メールプラットフォーム、ブラウザ、業務アプリケーション、インターネットに公開されたサーバーの侵害を可能にしています。
フランスの捜査当局は、2014年にUroburosマルウェアを使用した省庁機関への標的型攻撃と侵害を確認しています。
少なくとも2017年以降、Turlaのオペレーターはフランス軍事省当局者のメールアカウントを侵害しており、当局はこの脅威が同省およびその管轄下の組織に対して現在も活動を続けていると評価しています。
2018年には、Turlaがモスクワのフランス大使館のネットワークを侵害し、オペレーターがネットワークの偵察活動を行い、データを窃取しました。
2026年7月13日に発行されたCERTの報告書は、フランスと欧州連合(EU)による共同声明を伴っており、今回の活動の戦略的な重要性を裏付けています。
ロシアFSB関連組織「Turla」ハッカー
この攻撃者は2018年、フランスのテクノロジー企業に属するマシンも侵害していますが、これは最終的な諜報標的としてではなく、中継用インフラとして利用するためでした。
この事案は、Turlaが外交施設を継続的に標的としている傾向と一致しており、2025年にはMicrosoftが中間者攻撃(AiTM)の手法を用いてモスクワの各国大使館を標的とするキャンペーンを報告しています。
2019年には、生涯教育サービスをホストする司法関連機関に対してSharePointの脆弱性を悪用し、数千件に上るユーザーアカウントに関連する情報にアクセスできる可能性があった状態にまで至りました。
Turlaは初期アクセスの手段として、スピアフィッシング、水飲み場型攻撃、侵害済みのネットワーク機器、脆弱な業務アプリケーション、ゼロデイエクスプロイトを使用しています。
一部の攻撃では、複数の脆弱性を連鎖的に悪用することで、価値の高いネットワーク内部でのアクセスをより深め、持続性を維持していました。
同グループが保有するマルウェア群には、Epic、ComRAT、Carbon、Mosquito、Penquin、Gazer、Crutch、TinyTurla、LightNeuron、Capibar、Kazuarなどが含まれます。
2016年からTurlaが使用しているマルチプラットフォーム対応のバックドア「Kazuar」は、2026年時点でも活動を続けており、同グループが実績のあるインプラントを放棄するのではなく、既存のツールを更新し続ける能力を持っていることを示しています。
捜査当局による帰属特定や検知を困難にするため、Turlaは侵害または賃借したサーバー、乗っ取ったウェブサイトやWordPressインスタンス、P2P型の中継システム、そして指令制御(C2)やデータ回収のための衛星通信を利用してきました。
DataManagement
同グループは、他の国家支援型あるいは犯罪目的の脅威活動に関連するインフラや機能を転用することでも知られています。
EUは、FSB第16センターが複数のサイバー脅威グループを統括していることを明らかにしたと発表しました。一方フランスは、今回の作戦をウクライナ、NATO加盟国、EU諸国に対して継続中のロシアによる諜報活動の一環であると非難しています。
今回の公式な帰属認定は、国家が支援するサイバー作戦に対して外交的・政治的な代償を課そうとする欧州全体の取り組みを強化するものです。
防御側にとって、今回の情報開示は、政府機関や国防関連機関のメールインフラ、SharePoint、外部公開アプリケーションの監視を優先すべきことを示しており、あわせてTurla関連のマルウェアや不審な中継活動の探索も求められます。
外交、国防、先端技術関連の業務を支える組織は、この攻撃者をゼロデイ脆弱性と、ID管理・パッチ適用・エンドポイントセキュリティにおける通常の弱点の双方を悪用しうる持続的な脅威として扱う必要があります。
2019年当時のSOC向けに書かれたSLAをそのまま使い続けるのはもうやめませんか——2026年版AI SLA ベンダーチェックリストはこちら – 無料の AI SOC SLA ガイドをダウンロード
翻訳元: https://gbhackers.com/russian-fsb-linked-turla-hackers/