次の標的は日本か？ 世界で300社が被害を受けた新手のサイバー攻撃とは

財務分野の幹部のアクセス権を利用して社内情報にアクセスできれば、攻撃者はファイルを盗んだり、不正な送金を実行したりできる。このような狙いがあるサイバー攻撃が世界中の企業に仕掛けられている。

[Eric Geller，Cybersecurity Dive]

　世界中の銀行や投資企業、エネルギー分野の公益事業者、保険企業で財務を担当する経営陣に仕掛けられている新しいサイバー攻撃が確認された。

　セキュリティプラットフォームを提供するTrellixが2025年5月28日に発表したレポートによると（注1）、攻撃対象を絞った高度なスピアフィッシングキャンペーンの一種だ。

次の標的は日本か？

　攻撃で使われる電子メールには、被害者のPCにリモートアクセスできるようにするインストーラーが仕込まれている。

　財務分野の幹部のアクセス権を利用して社内情報にアクセスできれば、攻撃者はファイルを盗んだり、不正な送金を実行したりできる（注2）。さらに攻撃が発覚しにくいという特徴がある。

　Trellixが確認したこのスピアフィッシングキャンペーンは、使用された手口と標的の両方の点で注目に値する。

　「NetBird」というリモートアクセスツールを悪用するケースは、犯罪者が疑いを避けるために正規のものに見えるアプリケーションを使用する代表的な例だ。

NetBirdはどのようなソフトなのか

　NetBirdはリモートアクセスツールの一種だ。2024年にはドイツ連邦教育研究省からの助成金を得ており、GitHubのリポジトリ（netbirdio/netbird）が公開されている。

　単なるリモートアクセスツールではなく、ゼロトラストを設計思想としており、メッシュ型のVPNプラットフォームとして利用できる。異なるドメインにまたがる複数のオンプレミスサーバネットワークへ社外からアクセスする際に役立つという。

　NetBirdは単一障害点がなく、リソースごとにアクセスコントロールリストを設定できるため、IPsec VPNからの移行先として選択肢に入るという。（キーマンズネット編集部）

　Trellixの脅威リサーチ部門に所属するスリニ・スィータパシー氏（シニアマネジャー）は、同社のレポートで「近年、攻撃者たちはこのようなリモートアクセスアプリケーションを頻繁に悪用し、ネットワークの内部に侵入した後の持続的なアクセスを確立するようになった」と記した。

　Trellixによると、スピアフィッシングとNetBirdのインストール、その他の攻撃手法を組み合わせた今回のケースは、攻撃者の手口が常に進化し、巧妙化することを示す重大な例だという。

　「この攻撃は一般的なフィッシング詐欺とは異なる。綿密に練られたもので、標的を慎重に絞っており、巧妙かつ目立たない形で技術的な防御や人間の注意をすり抜けるよう設計されている。これはソーシャルエンジニアリングと防御回避の手口を組み合わせ、被害者のシステムに持続的なアクセスを確立して維持する多段階の攻撃だ」（スィータパシー氏）

なぜ幹部クラスを狙うのか

　攻撃者が標的を丁寧に絞り込んでいる点も重要なポイントだ。Trellixによると、スピアフィッシングメールは、標的となった企業のCFO（最高財務責任者）や財務部門の幹部クラスの従業員に送信されていたという。

　研究者は次のように指摘した。財務分野の幹部は支払いシステムのアクセス権を握っているため、経済的な動機がある犯罪者にとって特に価値の高い標的だ。下位または中堅クラスの財務担当者になりすました場合、その上司に不審に思われて資金を盗むのが難しくなるリスクがある。しかし、CFOや幹部になりすますことで、攻撃者はより大きな見返りを得られる。

　スィータパシー氏は「NetBirdのようなリモートアクセスツールを使って攻撃者が持続的なアクセスを確立して維持することに成功すれば、その影響は非常に大きい」と記しており、自由なリモートアクセスと高い権限が組み合わさることで、侵入が成功した場合に甚大な被害をもたらす可能性があるという。

どこの国の企業が狙われているのか

　Trellixのレポートによると、攻撃者はまだ日本や米国の企業を標的にしていないようだ。被害が確認されている地域は、欧州とカナダ、アフリカ、中東、南アジアだとされている。だが、脅威グループは特定の地域で攻撃を試行した後に他地域へと展開する傾向があるため（注3）、日本や米国の企業に所属する財務分野の幹部も近いうちに標的となる可能性がある。

　セキュリティソリューションを提供するProofpointの研究者は、2025年5月28日に「X」への投稿で「この活動に関連して、世界中の300以上の組織に対して2200通以上のメッセージが送信されたことを示すデータが存在する」と記した（注4）。そして、攻撃の性質についてTrellixとは異なる見解を示し、「われわれはこの活動を『狙いを絞った高度なもの』とは見なしておらず、機会をうまく活用したものだと考えている」と記した。

　Trellixは攻撃者を特定していないが、今回使われた一部のインフラについて「リモートアクセスツールやバックドアを配布したり、インストールしたりしており、国家から支援を受けた攻撃者による別のスピアフィッシング攻撃と共通の特徴がある」と述べた。

　Trellixは、今回の攻撃キャンペーンによる被害を防ぐために、特に添付ファイルが付いて未承諾のリクルートメールにCFOは慎重に対応すべきだと提言した。また、警告を無視してセキュリティ対策を回避するのを控え、少しでも不審なメッセージがあればセキュリティチームに報告するよう幹部に呼び掛けている。

出典：CFOs, financial execs in crosshairs of ‘highly targeted’ spearphishing campaign（Cybersecurity Dive）
注1：A Flyby on the CFO's Inbox: Spear-Phishing Campaign Targeting Financial Executives with NetBird Deployment（Trellix）
注2：BEC scams, investment fraud accounted for biggest cybercrime losses in 2024（Cybersecurity Dive）
注3：Researchers warn threat actors in UK retail attacks are targeting US sector（Cybersecurity Dive）
注4：Threat Insight（X）

原文へのリンク