作戦名アルテミス：HWPベースのDLLサイドローディング攻撃分析

◈重要なポイント(Key Findings)

韓国の放送作家などになりすまし、出演依頼やインタビューを口実としてターゲットに接近し、初期アクセスを試みる手法を確認
簡単な自己紹介に加え、違和感のない正常な案内文面を悪用することで、ターゲットの警戒心を解き、信頼関係を構築
事前インタビューの質問票や、イベント案内文書に偽装した悪意のあるHWPファイル(おとり文書)を送付
HWPファイルの初期実行プロセスとDLLサイドローディング技術を組み合わせることで、従来のシグネチャベースのセキュリティ製品によるパターンマッチング検知を回避する高度な戦略を展開
異常な振る舞いをリアルタイムで監視・検知できるEDRの導入が必要

※注釈：HWPファイルとは 韓国で標準的に使用されているワープロソフト「アレアハングル」のファイル形式。日本国内では通常使用されないため、HWPファイルが届いた時点で攻撃の可能性が高いと判断できる。

1．概要(Overview)

Genians Security Centerは、APT37グループが行った「Artemis」作戦キャンペーンを確認しました。脅威アクターは、HWP文書内に悪意のあるOLEオブジェクトを密かに挿入する方法を利用しました。ユーザがドキュメントの内容を信じてハイパーリンクをクリックすると、攻撃チェーンが起動するように設計されています。

[図1-1]攻撃フロー概要図

当該OLEオブジェクトがロードされると、攻撃者は正規プロセスを先に実行させる偽装手法を用いました。これらの多段階のプロセスは、正規のプロセスフローを悪用し、シグネチャベースのセキュリティ製品による検知を回避することを目的としています。その後、正規プロセスの実行コンテキスト内で最終的に悪意のあるDLLをロードし、ペイロードを実行します。

これは初期実行と権限昇格を巧妙に組み合わせ、検知を回避する戦術ですが、EDR(Endpoint Detection and Response)であれば、不審な実行フローを振る舞い検知ルールによって特定することが可能です。

2025年8月4日に公開された「RoKRAT Shellcodeとステガノグラフィベースの脅威分析およびEDR対応策」レポートにおいて、APT37グループによるLNKショートカットおよびHWP OLE悪用の攻撃事例を詳細に分析しました。当時の攻撃については、DLLサイドローディング実行後に追加ダウンロードされる画像ファイルを用いたステガノグラフィ手法について詳細に解説をしています。

このように脅威アクターたちはLNK戦略とともにHWP悪性文書を継続的に攻撃に活用しており、利用者の格別の注意が必要です。

本キャンペーンは、正規プロセスを悪用した検知回避、マルチステージ型の実行チェーン、そして正規の実行フローと不正な挙動を巧妙に組み合わせた高度な手口を特徴としています。特に、正規プロセスのコンテキスト内で悪性ペイロードを実行させる手法は、解析の難易度を著しく高め、検知および対応を困難にさせます。

総じて、本攻撃はAPT37が継続的に展開してきた偵察・侵入活動の高度化を、改めて裏付ける事例として評価されます。これは、同グループが洗練された技術を駆使し、攻撃能力を継続的に強化していることを示唆しています。

2．背景(Background)

10月27日、米国の北朝鮮情勢分析サイトとして知られる38ノース(38 North)は「HWP as an Attack Surface: What Hancom's Hangul Word Processor Means for South Korea's Cyber Posture as a US Ally」と題するレポートを公開しました。

同レポートでは、韓国で標準的に利用されているHangul Word Processor(HWP)文書フォーマットが、事実上の「攻撃対象領域(Attack Surface)」として定着していると指摘しています。さらに、北朝鮮の脅威アクターがこれを継続的に悪用し、韓国の政府・軍・主要機関のネットワークへの侵入を試みていると分析しています。

実際に、韓国国内ではHWP文書を悪用した攻撃が継続的に観測されています。脅威アクターの視点に立てば、マルウェアの挙動は環境や条件に応じて動的に変化させることが可能であり、採用可能な戦術は極めて多岐にわたります。

したがって、攻撃手法を特定し、それに基づき類似の脅威に備えるための対応能力を強化することが何よりも重要です。

本レポートでは、実際に観測された攻撃シナリオを中心に、攻撃の背景と戦術的特徴を詳細に分析します。これにより、組織の状況に適した対応策を策定するための判断材料を提供することを目的とします。

3．攻撃の展開 (Attack Progression)

3-1.ステガノグラフィ+DLLサイドローディング(Steganography+DLL Side Loading)

初期侵入は、スピアフィッシングメールに添付されたHWP文書によって試みられます。文書に埋め込まれた悪性OLEオブジェクトが実行されることで、攻撃者は最終的にユーザ環境(エンドポイント)へのアクセス権を獲得します。

攻撃者は侵入後、ステガノグラフィやDLLサイドローディングといった複合的な手法を駆使して実行フローを隠蔽しました。特にサイドローディングの段階では、 Microsoft Sysinternalsの正規ユーティリティが悪用されました。攻撃者は、対象の実行ファイルと同一のパスに、巧妙に細工された悪性DLLを配置することで、プログラムに正規DLLではなく悪性DLLをロードさせました。

脅威アクターは、7月頃よりステガノグラフィ技術を悪用し、RoKRATモジュールを密かに埋め込む手法を採用しています。特に8月には、これまで報告例のない人物画像が攻撃に悪用された事実が確認されました。なお、比較のためモノクロに変換して示した2枚の画像は、7月に採取されたサンプルです。

[図3-1]ステガノグラフィ攻撃に悪用された写真画面

3-2.攻撃シナリオ (Attack Scenario)

本レポートは、8月に新たに確認されたステガノグラフィベースの攻撃手法を起点とし、11月にかけて断続的に展開されたAPTキャンペーンを包括的に分析したものです。約4ヶ月間にわたるスピアフィッシング活動の調査を通じて、攻撃者が用いた悪性HWP文書がどのように改良・高度化されていったか、その進化の過程を段階的に明らかにします。

[図3-2]ディスカッション参加リクエストに偽装されたスピアフィッシング画面

2025年8月下旬、攻撃者が国会国際会議の討論者への招待状を装ったメールを送信し、社会的信用の高い特定の大学教授になりすましていた事実が確認されました。当該メールには「北朝鮮の民間人拉致問題解決のための国際協力案(国際セミナー).hwpx」というファイルが添付されており、受信者の関心分野を巧みに悪用した、標的型攻撃の手口が用いられました。

同様に、韓国主要放送局の放送作家になりすまし、北朝鮮の体制や人権に関するインタビューを依頼する事例も確認されました。攻撃者は、数回にわたるやり取りを通じて信頼関係を築いた後、悪性なHWPファイルを送付しました。調査の結果、実在する異なる番組を担当する放送作家2名の氏名が悪用されていたことが判明しました。これは、実在の人物を騙ることで、社会工学的なアプローチを用いて被害者を信用させようとしたものと分析されます。

[図3-3]インタビューリクエストに装ったスピアフィッシング画面

大学教授や放送作家になりすました事例に加え、特定の意見照会や行事案内を装った攻撃も多数観測されています。このようにHWP文書を悪用した攻撃では、文書内に埋め込まれたOLEオブジェクトをハイパーリンクに偽装し、ユーザーを騙して実行させる手口が特徴的です。

[図3-4] OLEハイパーリンクと接続先ファイル

これらの一連の事例は、社会的信用の高い機関や専門家の名義を悪用することで、受信者の警戒心を解き、攻撃の成功率を高めるソーシャルエンジニアリングに基づく脅威活動であると評価されます。

3-3.戦術の再利用(Tactic Reuse)

放送作家になりすました事例では、初期接触の段階では悪性リンクや添付ファイルを用いず、自然なやり取りを通じて信頼関係を構築する点が特徴です。その後、返信などの反応を示したターゲットに限定して、インタビュー依頼書を装った悪性ファイルを送付するという、段階的な攻撃手法が確認されました。

なお、同一の放送作家になりすます同様の攻撃手口は、2023年6月上旬の時点で既に観測されています。当時は「北朝鮮離脱住民招聘講義.zip」という名称の悪性圧縮ファイルが使用されており、同ファイルを通じて実行されたマルウェアからは、以下のPDB(Program Database)情報が確認されています。

D:\Sources\MainWork\Group2017\Sample\Release\DogCall.pdb

[表3-1] マルウェア内部に含まれるPDB文字列

当該PDB文字列は、2023年5月23日に公開された「北朝鮮人権団体を詐称したAPT37攻撃事例」レポートにおいても報告されています。近年、PDB情報が残存しているケースは稀ですが、過去の類似したマルウェアにおいては、多様なパターンのPDBパスが繰り返し観測されています。

D:\HighSchool\version 13\First-Dragon(VS2015)\Sample\Release\DogCall.pdb

d:\HighSchool\version 13\2ndBD\T+M\T+M\Result\DocPrint.pdb

D:\HighSchool\version 13\VC2008(Version15)\T+M\T+M\TMProject\Release\ErasePartition.pdb

E:\Happy\Work\Source\version 12\First-Dragon\Sample\Release\DogCall.pdb

e:\Happy\Work\Source\version 12\T+M\Result\DocPrint.pdb

[表3-2] 類似マルウェアで見つかったPDB文字列

このように、従来の攻撃戦術が一部改変されたり、そのまま再利用されたりする事例が確認されています。したがって、過去の類似した戦術・技術・手順(TTPs)を体系的に把握し、脅威情勢に対するインサイトを深めることは、既知の脅威への対応効率を向上させる上で極めて重要な役割を果たします。

4．詳細分析(Detailed Analysis)

4-1. HWPファイル構造の分析(HWP Structure Analysis)

実際の攻撃に悪用された複数のHWP文書の中から、代表的な検体4種のRoot Entry構造を比較分析しました。その結果、いずれの検体においてもBinDataストレージ内にOLEオブジェクトを含むストリームが格納されていることが確認されました。このようなOLEオブジェクトの埋め込み手法は、悪性ペイロードを実行させるための典型的な手口といえます。

[図4-1] HWPマルウェア内部構造の比較図

内部のOLEオブジェクトには、通常、一時ディレクトリ(％TEMP％)配下に「version.dll」という名称の悪性DLLを生成するコードが内包されています。

また「Volumeid1.exe」、「vhelp.exe」、「mhelp.exe」など、異なるファイル名で偽装された実行ファイルも条件に応じて一緒に生成されます。これらはすべて Sysinternals VolumeIdの正式なユーティリティです。

この実行ファイルは、DLLサイドローディングの手法を悪用し、同一ディレクトリに存在する「version.dll」という名称の悪性ファイルを自動的にロードします。これにより、攻撃者は悪性ライブラリを密かに実行させることができます。

このため、EXEプロセスの正当性のみに依存した従来の検知手法では、この脅威を効果的に特定することは困難です。したがって、攻撃チェーンの初期段階で悪用される「version.dll」ファイルの生成を監視し、異常な挙動をリアルタイムで検知できる、EDRベースの能動的な対応が求められます。

これにより、初期侵入を早期に検知し、後続ペイロードの実行を未然に阻止する対応戦略を構築することが可能となります。

当時悪用された悪性HWP文書においては、作成者(Author)フィールドに「Hazard」、最終保存者(Last Saved By)フィールドに「Artemis」という名称が共通して記録されている事実が確認されました。

[図4-2]悪性HWP文書の情報画面

以上の分析結果を総合すると、当該HWP文書を作成した脅威アクターのユーザーアカウント名は「Artemis」であると強く推測されます。本レポートのタイトルにある作戦名「アルテミス」は、この分析結果に由来しています。

前述の通り、HWP文書経由で最初に実行されるファイルは正規のユーティリティであるため、セキュリティ製品が初期段階で脅威を検知することは極めて困難です。

脅威アクターは、この検知が困難な隙間を悪用してDLLサイドローディング攻撃を展開し、悪性DLLモジュールを密かにロードさせることで感染を広げます。

4-2. DLLファイルの分析(DLL File Analysis)

DLLサイドローディングに悪用された「version.dll」ファイルは、2025年10月から11月にかけて継続的に使用されていた事実が確認されています。

さらに、複数のサンプルにおいて同一のPDB文字列が繰り返し確認されたことから、これらは同一の脅威アクターによる一貫した攻撃キャンペーンであると特定できます。

D:\Develop\HwpOLE\HwpOLE\x64\Release\version.pdb

[表4-1] DLL内に含まれたPDB文字列

[図4-3] DLLロジックの分析画面

「version.dll」ファイルの内部には、単一バイトのXORキー(0xFA)を用いて暗号化されたペイロードが格納されています。

復号処理においては、通常のバイト単位でのXOR、あるいは一度に16バイト(128ビット)を処理するSSE(Streaming SIMD Extensions)命令を活用した高速処理のいずれかが実行されます。

この実装は、シグネチャ検知を回避しつつ実行速度を向上させるための、隠蔽およびパッキング技術として採用されたものです。復号されたペイロードは64ビットDLLとしてメモリ上にロードされ、そこからは固有のPDB文字列も確認されました。

D:\Develop\HwpOLE\HwpOLE\x64\Release\common.pdb

[表4-2] 復号化されたペイロード内に含まれているPDB文字列

このモジュールは、メモリ上の暗号化されたブロックを16バイトのキー(0xF9)を用いてXOR復号し、その後、復号されたコード領域へ実行制御を遷移させる構造を持っています。これは、典型的なshellcodeローダの特徴を明確に示すものです。

[図4-4]shellcodeの復号化ロジック

暗号化されたデータブロックがすべて正常に復号されると、x64環境向けに設計された完全なshellcode が展開され、実行可能な状態となります。

このshellcodeは、さらにシングルバイトキー(0x29)を用いたXOR復号処理を実行します。こうしてアクティブ化したshellcodeは、最終的なペイロード機能を持つコアモジュールであり、攻撃チェーンの最終段階において、実質的な悪性行為を遂行する役割を担います。

[図4-5]最終ペイロード復号化ロジック

このような多段階の復号プロセスを経て、最終的にメモリ上に展開されるペイロードは、「RoKRAT」ファミリーの典型的な特徴を持つマルウェアであることが判明しました。

5．脅威の帰属 (Threat Attribution)

5-1. APT37グループの類似事例

Genians Security Centerは、サイバー脅威インテリジェンス(CTI)分析レポートを通じてAPT37グループが行った主要なサイバー作戦についてすでにいくつかのケースを公開しています。

このような過去の活動との交差比較は、該当脅威グループが一貫して駆使する戦術・技術・手続き(TTP)の特性を導出するのに有効であり、攻撃背後の運営パターンと戦略的意図との相関関係を精巧に把握できるようにします。

また、APT37の活動は様々な脅威インテリジェンスレポートを通じて繰り返し報告されていますが、メディア報道や一部の公開資料によって明らかになっている事例は、実際の活動規模のほんの一部に過ぎないと推測されます。

このような情報の非対称性は、企業や組織のセキュリティ担当者がAPT37の脅威レベルを過小評価するリスクにつながります。公開情報のみに依存して危険度を判断しようとすると、攻撃グループの実際の作戦範囲、持続性、および浸透能力を正確に把握することは極めて困難だからです。

とりわけAPT37のように、明確な戦略的目標に基づき長期的かつ組織的に活動する脅威アクターにおいては、未だ検知されていない侵害の試行、執拗なAPT攻撃、あるいは初期偵察活動など、水面下で実行された作戦が相当数存在している可能性が極めて高いと言えます。

したがって、現在把握されている情報のみに基づいて脅威レベルを過小評価することは、セキュリティ組織における対応優先順位の設定や防御戦略の策定を誤らせる危険性があります。

その結果、アタックサーフェス(攻撃対象領域)管理における死角の発生、監視体制の脆弱化、あるいは不十分な脅威ハンティングといった深刻なセキュリティリスクを招く要因となり得ます。

以上の点から、国家の支援を受ける主要なAPT攻撃グループの活動に対し、継続的な監視を行うこと、そして組織全体の脅威認識を向上させることは不可欠です。何より重要なのは、セキュリティに対する意識を高め、常に警戒を怠らない組織的なマインドセットを持つことです。

5-2.攻撃戦術の解釈

本攻撃事例においては、HWPファイルのOLE構造を悪用した感染ベクターに加え、DLLサイドローディング技術と多段階のペイロード暗号化・隠蔽技術を組み合わせた、極めて洗練された攻撃手法が確認されました。

このような複合的な戦術の採用は、単なる検知回避の枠を超え、解析の難易度を戦略的に高めることを目的とした、意図的な設計によるものと評価されます。

とりわけ、RoKRATの実行経路を精巧に隠蔽するよう構築されたこの攻撃チェーンは、脅威アクターが長期間にわたり、攻撃ツールの隠蔽性および持続性を強化するための研究開発を継続していることを強く示唆しています。

分析の結果、脅威アクターは正規プロセスを悪用して悪性DLLをロードさせる手法を用いることで、振る舞い検知を巧みに回避していることが判明しました。同時に、ペイロードに対して多層的な暗号化を施すことで、静的解析のエントリポイントを極限まで最小化しています。

これらは単なる攻撃技術の羅列ではなく、攻撃ライフサイクル全体を俯瞰した体系的な設計に基づくものです。ここには、既存の検知システムを確実に回避しようとする明確な意図と、脅威アクターの極めて高い技術的成熟度が示されています。

また、こうした技術の高度化は、RoKRAT単体の機能改善にとどまらず、配布・隠蔽・持続性確保のための「攻撃エコシステム」全体の進化が並行して進んでいることを意味します。

これは、APT37グループが単発のキャンペーン単位ではなく、長期的な戦略目標に基づき、組織として継続的に攻撃能力を蓄積・強化している事実を強く裏付けるものです。

結論として、本攻撃事例は、国家支援型脅威アクターが、検知回避を目的とした戦術の持続的な進化を示す、極めて重要な指標であると評価されます。今後出現する亜種や後続の攻撃キャンペーンにおいても、今回確認されたような多層的な隠蔽戦略が、より広範囲に適用される可能性は極めて高いと考えられます。

5-3. RoKRATインフラ調査

今回のアルテミス(Artemis)作戦において特定されたコマンド＆コントロール(C2)インフラストラクチャは、ロシアを拠点とする「Yandex Cloud」をコアノードとして悪用していると分析されています。

これは、APT37が長年にわたり示してきた戦術的なパターンと一致するものです。同グループは、Dropbox、OneDrive、pCloud、Yandex Cloudといった正規の商用クラウドサービスを積極的に悪用し、C2通信を正常なトラフィックに偽装する戦略を一貫して踏襲しています。

これらのサービスは、グローバルCDNを基盤とした堅牢な可用性と、暗号化された通信チャネルを提供します。そのため、検知回避や匿名性の確保、さらには地理的な追跡を困難にすることを狙う脅威アクターにとって、攻撃インフラとして悪用するのに極めて理想的な条件を備えています。

とりわけAPT37は、クラウドストレージを単なるファイルのアップロード・ダウンロード先としてではなく、コマンドの配信、実行結果の収集、暗号化されたペイロードのホスティング、さらには時間差を利用した隠密な運用など、多目的なC2チャネルとして駆使する、極めて洗練された運用手法を示しています。

このような正規サービスの悪用は、従来のIPアドレスベースの遮断や単純なトラフィックフィルタリングでは防御効果が限定的であり、正常なユーザートラフィックとの識別を極めて困難にする、現代の典型的な脅威の一つです。

実際の攻撃に使用されたRoKRATの詳細解析により、Yandex Cloudのアカウントトークンが2つ特定されました。これらはそれぞれ2023年10月、および2025年2月に作成されたものであることが確認されており、攻撃者が長期間にわたってトークンを更新・管理し、C2通信の可用性を維持している事実を示唆しています。

Yandex加入者情報＃1

- y0__xCvwqD6BxiitDUgtK7BqRJKUd5n0zFOnE5JA1vpobhCHkgkZg

- philp.stwart

- 2025-02-20T05:29:09+00:00

Yandex加入者情報＃2

- y0__xCgjYyMBxjIhDUgqp2umhIg72AOcJ1RXdfk-fIWhJrHtL7_Iw

- tanessha.samuel

- 2023-10-19T07:09:54+00:00

[図5-1] RoKRAT脅威アクターのYandex登録情報

正規のクラウドサービスを基盤としたこうした攻撃インフラに対しては、個々の国家や企業による単独の対応では、完全な遮断が極めて困難です。

したがって、クラウドサービスプロバイダー、国際サイバー脅威対応機構、外交チャネル間の緊密な協力を通じて、悪意のあるトークンの無力化と悪用アカウントの迅速な識別と廃棄を可能にする体系を整えることが不可欠です。

したがって、クラウドサービス事業者、国際的なセキュリティ機関、および外交チャネル間での緊密な連携を通じ、悪性トークンの無効化や、不正利用されたアカウントの迅速な特定・停止を可能にする、包括的な協力体制を構築することが不可欠です。

5-4.脅威背後との関連性

今回Yandex Cloudのアカウントとして使用されたtanessha.samuelは「作戦名：トイボックスストーリー」において特定されたpCloudアカウント(tanessha.samuel@gmail.com)とユーザー ID が完全に一致しています。

さらに、これら2つのクラウドサービス(YandexおよびpCloud)におけるアカウント登録日が、いずれも「2023年10月19日」であることが確認されました。この日付の完全な一致は、これが単なる偶然ではなく、同一の脅威アクターによる計画的なインフラ構築であることを強く裏付けるものです。

pCloud 加入者情報

- Poz17Z5rmhrc0S5SSZJIfPykZBBY1K3GcDmXzwM2kSaK1wfoS40zX

- tanessha.samuel@gmail.com

- Thu, 19 Oct 2023 02:34:32 +0000

[図5-2] RoKRAT脅威アクターのpCloud登録情報

このようなアカウントの同時登録は、攻撃者が同一の識別子(ID)を用いてマルチクラウドインフラを運用し、C2およびペイロード配信経路を一元管理している事実を強く示唆しています。

さらに、ロシア(Yandex)とスイス(pCloud)という異なる法域のサービスを同時に選択した点は、地理的および法的な管轄権を分散させることで、検知の回避および国際的な追跡を困難にする隠蔽戦略の一環と評価されます。この事実は、攻撃者の帰属特定および脅威追跡において、極めて重要な手がかりを提供するものです。

6．結論と対応(Conclusion)

APT37によるDLLサイドローディング、およびクラウド基盤を悪用した隠蔽戦略に実効性のある対策を講じるためには、EDRを活用したエンドポイント監視と、振る舞い検知を有機的に連携させた多層防御の構築が不可欠です。推奨される主要な対策は以下の通りです

DLLサイドローディングに起因する不審な挙動の検知

- 非標準パス(Unusual Paths)からDLLをロードするイベントを監視

- デジタル署名の不整合(Digital Signature Mismatch)検知

- 実行直後の通信発生の分析

HWPおよびOLEオブジェクトに関連する異常挙動の監視

- HWPプロセス(hwp.exe)による不審な子プロセス生成を監視

- 特に、rundll32.exe、cmd.exe、powershell.exe等が起動された場合は、悪用の可能性が高いため、高優先度のアラートとして扱う。

- OLEオブジェクトの実行に伴うファイルの作成や、TempフォルダからのDLLロードイベントを追跡・監視

クラウドC2通信とエンドポイント挙動の相関検知

- エンドポイントでYandex、Dropbox、OneDrive等のクラウドサービスに対し、以下の条件で通信が発生した場合、異常(Anomaly)スコアを重み付け

- 同一ホスト上で「偵察活動(Reconnaissance)→ペイロードのドロップ→クラウドサービスへの通信」という一連の攻撃チェーンが観測された場合、最優先の対応対象として分類

Genian EDRは、APT37グループが悪用するDLLサイドローディング技術を、高度な振る舞い分析(XBA)ベースの検知ルールにより効果的に識別します。これにより、当該技術に対する「検知のブラインドスポット」を排除し、隙のない確実な対応を実現します。

このような分析主導型の検知アプローチは、単なるハッシュマッチングの枠を超え、振る舞いに着目した高度なペイロード識別能力を提供します。その結果、DLLサイドローディングをはじめとする様々な亜種や変則的な攻撃に対しても、安定的かつ確実な防御能力を発揮できるよう設計されています。

[図6-1] Genian EDRベースのAPT37 DLLサイドローディング脅威の検知画面

Genian EDRの「攻撃ストーリーライン」機能は、HWPプロセスによって起動されたSysinternalsユーティリティを経由し、悪意あるversion.dllがロードされるまでのDLLサイドローディング攻撃のチェーン全体を可視化します。

これにより、セキュリティ管理者は攻撃のフローを段階的かつ詳細に追跡することが可能になります。その結果、異常な兆候の分析から具体的な対応策の実行までの時間を大幅に短縮できます。

[図6-2]攻撃ストーリーライン画面

また、感染フェーズにおいて悪性ファイルが実行するネットワーク挙動を精密に監視し、とりわけロシアを拠点とするYandex Cloud APIに対する異常な外部通信の試行を、即座に検知・特定します。

これらの外部接続は、脅威アクターがC2サーバとの通信やデータ搬出(Exfiltration)の経路として悪用する可能性が極めて高く、重要な監視ポイントとなります。

こうした高度なネットワーク可視化機能は、セキュリティ管理者が悪性通信の実態を瞬時に把握することを支援し、通信の遮断・端末の隔離・フォレンジック調査といった迅速な初動対応を、遅滞なく実行するための確固たる判断材料を提供します。

結果として、ネットワーク段階で隠密裏に行われる侵入や情報の窃取を早期に発見し、確実に阻止する中核的な防御能力として機能します。

[図6-3] ロシアのYandex Cloud通信の識別画面

Genian EDRの「攻撃ストーリーライン」機能は、マルウェアの実行フロー全体を時系列に沿って相関付け、その全容を詳細に可視化します。これにより、SOCオペレーターはプロセスツリー、コマンドライン、ファイル・レジストリの変更、ネットワークイベントといった侵害状況を瞬時に把握可能です。結果として、脅威の優先順位付け（優先順位付け）、端末の隔離、通信の遮断、フォレンジックデータの収集といった一連のインシデント対応を、迅速かつ的確に実行することができます。

EDRは、エンドポイント上で発生する振る舞いをリアルタイムに収集・分析し、一連の悪性活動を可視化します。さらに、自動対処機能によって攻撃の拡散を即座に遮断し、組織の脅威検知・対応能力を飛躍的に向上させます。

また、フォレンジック分析や脅威インテリジェンス(CTI)との連携を通じて、侵害の根本原因の特定、再発防止策の策定、そして情報漏洩の未然防止を含む、包括的なセキュリティ管理体制を構築できます。

脅威が高度化する現代において、既存のアンチウイルスやファイアウォールをすり抜ける攻撃に対処するため、EDRの導入はもはや事実上の必須要件となっています。

7. IoC (Indicator of Compromise)

8e4a99315a3ef443928ef25d90f84a09

17171c644307b17d231ad404e25f08b1

31662a24560b3fe1f34f0733e65509ff

a196fb11a423076f66f5e4b2d02813a9

ad3433f5f64abdec7868a52341f14196

c0cac70c93d213d113001e3410c24fd2

d2b2c6646535a62e4c005613d6a036f0

e726b59f96ab8360f323469d72b8b617

ea95109b608841d2f99a25bd2646ff43

f13a4834e3e1613857b84a1203e2e182

f3603f68aadc8bc1ea8939132f0d5252

2f3dff7779795fc01291b0a31d723aca

7e8c24bb3b50d68227ff2b7193d548dd

d287dcaeaf17c9dae8a253994502ee58