10年にわたって公然と存在してきたサイバー作戦は、これまで理解されていたよりもはるかに高度である可能性がある。
Malanta の新たな調査によると、長年ありふれたサイバー犯罪として片付けられてきたインドネシアの巨大なギャンブル・エコシステムは、国家支援の脅威アクターに典型的な規模、自動化、運用成熟度を示しているという。
「この“長期性・規模・コスト・高度さ”の組み合わせは、典型的な“手早く稼いで逃げる”タイプのギャンブル詐欺や金銭目的のグループをはるかに超えています」と、Malanta の CEO である Kobi Ben Naim 氏は述べている。
さらに同氏は、「そのため、私たちはこれを APT と分類し、国家支援レベルと表現していますが、特定の政府機関と直接結びつける証拠があると断言しないよう細心の注意を払っています」と付け加えた。
長期作戦を支える巨大インフラ
Malanta は、少なくとも 2011 年から活動している統合インフラを突き止め、32万8,000件超のドメイン、23万6,000件のギャンブルサイト、1,400件の乗っ取られたサブドメイン、そして数千件の悪意ある Android アプリケーションを明らかにした。これは、既存の APT グループに匹敵するほど巨大なエコシステムだ。
この作戦には、盗まれた認証情報、政府機関や企業環境内に潜むリバースプロキシ、そして大手ブランドを模倣した 500 件超のなりすましドメインも含まれている。
これは、完全な攻撃を開始する何年も前から、大規模な作戦を静かに準備できる脅威アクターの存在を示している。
このインフラが西側政府システムやクラウド環境にまで及んでいることは、国家安全保障およびサプライチェーンへの影響を一段と高めている。
インドネシアのネットワーク背後にある APT 規模の作戦の内側
従来型のギャンブル詐欺とは異なり、この作戦はドメイン乗っ取り、クラウドリソースのステージング、モバイルマルウェア配布、大規模な認証情報の取引を組み合わせている。
脅威アクターはサブドメインを乗っ取り(西側政府機関に属するものも含む)、それらをセッションクッキーの窃取や、秘匿された C2(コマンド&コントロール)トンネリングに利用する。
これにより、悪意あるトラフィックが正規の企業や政府機関の評判に紛れ込む、ステルス性の高い経路が形成される。
このインフラはまた、大量ドメイン自動化、SEO リダイレクト、AI 生成のフィッシングキット、S3 バケットや Azure Blob、GitHub にホストされたペイロードを利用した持続的なクラウド・ステージングも悪用している。
Malanta の IoPA(Pre-Attack 指標)分析では、次のような点が明らかになった。
- まだ武器化されていない、新規作成のブランドなりすましドメイン
- 将来のマルウェア配布のためにステージングされた、誤設定または放置されたクラウドリソース
- ステージング段階にある AI 生成のフィッシングテンプレート
- ダングリング DNS や期限切れ証明書といったドメイン乗っ取りのベクター
こうしたプレ攻撃段階での可視性により、アナリストはそれまで無関係と見なされていた数千のアセットを、1つの APT 規模キャンペーンとして結び付けることができた。
この作戦は、クラウド設定ミスやドメイン衛生管理の不備を体系的に悪用していることを反映している。
セキュリティ体制を強化するための主要な防御策
現代の脅威キャンペーンは、誤設定されたドメインやクラウド資産、アイデンティティ経路をますます悪用し、企業環境内に静かに足場を築いている。
攻撃者がコモディティ化されたインフラに、乗っ取られたサブドメインやステージング済みクラウドリソースを組み合わせる中で、従来の境界防御だけではもはや十分ではない。
組織には、可視性を高め、設定を堅牢化し、検知を加速させる多層的アプローチが求められる。
- DNS レコード、クラウド資産、サブドメインを監査し、乗っ取り経路を排除するとともに、厳格な廃止手順を徹底する。
- 強力な Web 保護(CSP、SRI、Secure/HttpOnly クッキー、不正なドメイン活動の継続的監視など)を導入する。
- 強固な クラウドガバナンスを確立し、IaC スキャン、最小権限制御、短命な認証情報、制限された API/トークンスコープを実装する。
- ネットワークおよびアプリケーショントラフィックを監視し、異常を検知する。具体的には、不審な POST リクエスト、ブランドなりすましドメイン、クラウドホスト型 C2 インフラなどを対象とする。
- ゼロトラストセグメンテーションとアイデンティティ制御を実装し、ラテラルムーブメントを制限するとともに、異常な認証イベントを検知する。
- 脅威インテリジェンスと SOC の検知能力を拡張し、乗っ取られたサブドメイン、コモディティクラウド IP の悪用、なりすましインフラを検出する。
- インシデントレスポンス態勢を強化し、専用プレイブック、テーブルトップ演習、サードパーティおよびベンダー管理ドメインのセキュリティレビューを実施する。
これらの対策により、組織は同様の脅威に対するサイバー・レジリエンスを構築できる。
インフラ優先型攻撃へのシフトの内側
クラウドプラットフォーム、乗っ取られた政府ドメイン、広く利用されている CMS エコシステムに悪意あるアセットを分散させることで、攻撃者は、信頼されたサービスに紛れ込むステルス性、インフラを迅速に再生成する自動化、そしてグローバルネットワーク全体にまたがる世界的な到達範囲を獲得している。
この活動は正規のインターネット・エコシステム内に潜んでいるため、従来型の脅威インテリジェンスフィルターやテイクダウンプロセスをすり抜けることが多く、攻撃者にとって摩擦の少ない長寿命のインフラをもたらす。
犯罪組織と国家レベルの手口の融合は、攻撃者の行動における根本的な変化を示している。
脅威アクターがプレ攻撃インフラを工業化する中で、防御側は、リアクティブな検知からプロアクティブな撹乱へとシフトし、悪意あるアセットが武器化される前に特定・解体しなければならない。
このシフトを先取りするには、脅威インテリジェンスフィードを活用し、攻撃者インフラが本格的なキャンペーンへと成熟する前に、その兆候を捉える必要がある。
