データ提供 PR TIMES
本記事の内容に関するお問い合わせ、または掲載についてのお問い合わせは株式会社 PR TIMES (release_fujitv@prtimes.co.jp)までご連絡ください。また、製品・サービスなどに関するお問い合わせに関しましては、それぞれの発表企業・団体にご連絡ください。

プレスリリース配信元:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、ロシアに関連すると見られる脅威グループ「APT29」が欧州の外交機関を標的に展開する、高度なフィッシングキャンペーンについて報告しました。このグループは2019年に始まったSolarWinds社への大規模なサプライチェーン攻撃にも関連していたと見られます。最新のキャンペーンでは、フィッシングメールを通じてその後の攻撃の足掛かりとなるバックドア型マルウェアGrapeloaderやWineloaderをダウンロードさせており、その手法にはさらなる進化が確認されました。

概要
- CPRは、ロシアに関連していると見られる持続的標的型脅威(APT)グループ「APT29」による、高度なフィッシングキャンペーンを観測しました。この攻撃は、ヨーロッパ全土の外交機関を標的としています。
- このキャンペーンはWineloaderとして知られるバックドア型マルウェアを用いた過去の攻撃に続くものと見られ、ある主要な欧州国の外務省を装い、多くはワインテイスティングなどの外交イベントに関する偽の招待状を送信します。
- フィッシングメールを介して展開されるこのキャンペーンでは、Grapeloaderと名付けられた新しいマルウェアが使用されていました。キャンペーンの後期に使用されていた可能性が高いと見られる、Wineloaderの新しい亜種も発見されています。


脅威グループ「APT29」、別名Midnight BlizzardまたはCozy Bear

CPRは、2025年1月に開始された一連の大規模な標的型フィッシング攻撃を確認しました。この攻撃ではヨーロッパ各地の政府機関や外交機関を標的とし、ロシアに関連する脅威グループ「APT29」による攻撃とされるWineloaderキャンペーンで用いられたものと極めて類似した高度なTTP(戦術・技術・手順)を用いています。

APT29はMidnight BlizzardまたはCozy Bearという別名を持ち、政府機関やシンクタンクをはじめとする知名度の高い組織・機関を標的にすることで知られています。このグループはまた、SolarWinds社のサプライチェーン攻撃にも関係していると見られています。標的型フィッシング攻撃から大規模なサプライチェーン攻撃まで広範囲にわたって活動し、多くの場合多様なカスタムマルウェアを使用します。

欧州国の外務省になりすまし、招待状を送付

APT29に関連すると見られる最近の一連のサイバー攻撃では、脅威アクターはある主要な欧州国の外務省を装って、ワインテイスティングイベントへの招待状に見せかけたメールを送信しています。最近のWineloaderキャンペーンから約1年後に出現したこの新たなフィッシングキャンペーンでは、欧州圏以外の国の大使館を含む欧州の外交機関が主な標的とされています。メールには悪意のあるリンクが含まれ、ユーザーがクリックするとGrapeloaderという名で知られるバックドア型マルウェアのダウンロードが開始されるか、正規のメールを装うためになりすましている外務省の公式サイトにリダイレクトされます。

調査を通じて、特定の標的に向けて送信されたGrapeloaderの複数の亜種と、Wineloaderの新しい亜種が発見されました。このWineloaderの亜種のコンパイル時のタイムスタンプと新しく発見されたGrapeloaderの類似性によって、このWineloaderは攻撃の後期に投入されたものであることが示されています。こうした展開は戦術の進化を示し、疑いを持たない標的に対して高度なマルウェアを展開するために信頼ある機関を悪用する、攻撃者の高い適応力を浮き彫りにしています。

図1 - キャンペーンの概要

フィッシングメールの詳細
2つのドメインを通じて、外務省内の人物を装う数通のメールが送信されました。各メールには悪意あるリンクが含まれ、クリックすると攻撃の次の段階であるwine.zipというファイルがダウンロードされます。リンクのドメインは送信者のドメインと一致していました。

CPRがキャンペーンの一環として送信されたメール数通を特定したところ、そのほぼすべてがワインテイスティングのイベントに関連していました。



メールに含まれるリンクをホストしているサーバーは、スキャンや自動解析ツールに対し、十分な防御を実施していると見られます。悪意あるダウンロードは、特定の時間帯や地理的位置など、特定の条件下でのみ実行されます。

結論
APT29(別名Midnight BlizzardまたはCozy Bear)に関連付けられる最近の標的型フィッシング攻撃は、政府および外交機関が直面しているサイバー脅威の高度化と適応力を浮き彫りにしています。Grapeloaderの登場は、Wineloaderの新しい亜種とともに、常に進化を続けるマルウェアの特性を強く示しています。これらが示すより高度なステルス性と検出回避能力は、サイバー攻撃の検出と防止に重大な課題をもたらします。

チェック・ポイントのThreat EmulationおよびHarmony Endpointは、ネットワークに悪影響を及ぼす前に悪意ある挙動を検出し、本リリースで解説したような脅威から組織を守ります。未知の脅威やゼロデイ脆弱性を検出し、ファイルに対する徹底的な検査を実施しながら、そのファイルの安全なバージョンへの素早いアクセスを可能にします。このプロアクティブなアプローチによって、安全なコンテンツへの迅速なアクセスと、潜在的な脅威に対する効果的な特定・管理が実現します。それによってセキュリティが強化され、ネットワークの完全性を維持できます。

APT29の最新のキャンペーンの詳細については、こちらのチェック・ポイント・リサーチの包括的なレポートをご覧ください。

本プレスリリースは、米国時間2025年4月15日に発表されたブログ(英語)をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp

企業プレスリリース詳細へ
PR TIMESトップへ

PR TIMES
PR TIMES