ポセイドン作戦: Google 広告のリダイレクト機能を悪用したスピアフィッシング攻撃

◈ 重要なポイント (Key Findings)

• 広告URLに偽装したスピアフィッシングキャンペーンを展開し、セキュリティフィルターやユーザの警戒を回避
• 脆弱なWordPressサイトが、マルウェアの配布拠点やC2インフラとして悪用される
• 「Poseidon」は、APTグループ「Konni」が内部的に命名・運用していた攻撃作戦コードであると特定
• PDFに偽装したAutoItスクリプトを実行させることで、マルウェア「EndRAT」をロード
• エンドポイントでの振る舞い検知(Behavior Detection)が可能な、EDRによる対策が必須であると評価

1. 概要 (Overview) 

Genians Security Center（GSC）は、APTグループ「Konni」による「ポセイドン作戦(Operation Poseidon)」に関する詳細な脅威分析を実施いたしました。

分析の結果、当該脅威アクターは、韓国内の北朝鮮人権団体や金融機関を騙るソーシャルエンジニアリング戦術を執拗に用いており、特定のターゲットに絞った高度な標的型攻撃キャンペーンを継続的に展開していることが特定されました。

[図 1-1] ポセイドン作戦のタイムライン

Googleは2007年、インターネット広告技術企業であるDoubleClick社の買収計画を発表し、2008年3月に約31億ドルでの買収を完了しました。その後、DoubleClickが保有していた広告クリックのトラッキングおよびリダイレクト技術は、Google AdsやGoogle Marketing Platform(GMP)に統合され、現在では広告トラフィックの配信と成果測定を担う中核インフラとして活用されています。

今回の攻撃は、Google広告エコシステムにおける広告クリックリダイレクトのメカニズムを悪用したスピアフィッシング攻撃ベクターであり、メールセキュリティフィルタリングやユーザの警戒を効果的に回避した事例であると分析されます。攻撃者は、正規の広告トラッキング用ドメイン(ad.doubleclick[.]net)のリダイレクトURL構造を悪用し、実際に悪性ファイルがホストされている外部インフラへとユーザを段階的に誘導する手法が用いられたことが確認されました。

一方、2025年5月および7月前後には、NAVER広告マーケティングプラットフォームのクリックトラッキングドメイン(mkt.naver[.]com)を悪用した類似の攻撃試行が限定的に確認されましたが、その後に確認された最近の攻撃活動においては、Google広告インフラを中心とした攻撃パターンが一貫して継続しています。

このような広告インフラを基盤としたリダイレクトURLは、正規のトラフィックとして認識される可能性が高く、初期段階での検知を回避する上で有利に働きます。Konni APTはこの手法で初期の信頼性を確保した後、実在するコンテンツや金融関連のテーマをおとりにファイルダウンロードを誘導し、PDFファイルの実行に見せかけて最終的なマルウェアをロード・実行する一連の攻撃チェーンを構築していることが確認されました。この手法は、静的解析やシグネチャベースのセキュリティ対策を効果的に回避可能な、高度化された初期侵入戦術であると評価されます。

これらの攻撃特性を総合的に鑑みると、「ポセイドン作戦」は、単一のセキュリティソリューションのみでは防御が困難な、高度なAPT攻撃事例に分類されます。

本脅威インテリジェンスレポートでは、悪性スクリプト内部のアーティファクトから特定された「ポセイドン作戦」を中心に、国家支援型脅威グループが駆使する最新の攻撃戦術と技術的特徴を詳細に分析し、エンドポイントでの振る舞い検知(EDR)および相関分析に基づいた対策の必要性を提言します。

2. 背景 (Background)

本脅威は、攻撃インフラの露出および追跡を回避する目的で、セキュリティ管理が不十分なWordPressベースのWebサイトを侵害し、これをマルウェア配布およびC2インフラとして悪用する戦術を継続的に運用している兆候が確認されました。このようなインフラ運用方式は、攻撃インフラの迅速な切り替えを可能にし、URL・ドメインベースのブロックポリシーの効果を低下させる構造的な利点を提供します。

初期侵入(Initial Access)段階では、北朝鮮人権団体や金融機関を騙るソーシャルエンジニアリングメールが使用され、金融関連の業務文書や通知形式に偽装されたファイルを通じて、受信者が通常の業務フローの一部としてファイルを実行するよう誘導する攻撃シナリオが確認されました。

マルウェアのデリバリー過程において、ショートカット(Shortcut) LNKファイルの構造的特性を悪用してファイル拡張子およびアイコンを偽装し、正規のPDF文書であると誤認させるよう細工されたAutoItスクリプトを実行させる戦術が採用されています。当該スクリプトは追加のユーザ操作を必要とせずに動作し、実行後はEndRAT系統の遠隔操作型マルウェアをメモリ上にロード・実行する機能を遂行します。

また、AutoItスクリプトの検体内部には

D:\3_Attack Weapon\Autoit\Build\__Poseidon - Attack\client3.3.14.a3x

のような内部ビルドパス文字列が含まれており、これは攻撃者が内部的に当該攻撃活動を「ポセイドン(Poseidon)」と命名し、作戦単位として区分・管理していることを示唆する「命名アーティファクト(Naming Artifact)」であると解釈されます。このような開発アーティファクトは、攻撃ツールの開発環境や作戦管理体制を推測する手がかりとなり、同一の脅威アクターによる関連攻撃や後続活動を紐付けるための重要な技術的根拠として評価されます。

総括すると、「ポセイドン作戦」は、攻撃インフラの隠蔽、ソーシャルエンジニアリングを悪用した初期侵入、そしてスクリプトベースのマルウェア実行を巧みに組み合わせた複合的な攻撃様相を呈しており、Konni APTがその戦術・技術・手順(TTPs)を継続的に進化・高度化させていることを如実に示す代表的な事例であると分析できます。

3. 主要な攻撃ベクター (Primary Attack Vectors)

3-1. 初期侵入の手法 (Initial Access Technique)

初期侵入の段階では、スピアフィッシングメールを通じて配信された添付ファイルダウンロードURLが、主要な攻撃ベクターとして悪用されました。当該URLは圧縮ファイルのダウンロードを促すものであり、その圧縮ファイル内部には「LNK形式の悪性ファイル」が含まれていることが分析により判明しました。

ユーザがこれを実行した場合、LNKファイルを起点として不正な挙動が開始され、最終的に脅威アクターが被害システムへのアクセス権限を獲得する一連の攻撃チェーンが形成されます。

特筆すべき点は、悪性ファイルの配布に使用されたURLが「正規の広告トラフィック」に偽装されていることです。攻撃者は、マーケティングおよび広告クリックトラッキング用のURL構造を悪用し、パラメータ部分に実際の悪性コンテンツがホストされているC2アドレスを挿入する手口を用いたことが確認されました。

この手法により、URL自体は正規の広告プラットフォームのリダイレクトリンクとして認識されるため、メールセキュリティゲートウェイやURL評価に基づく検知をすり抜ける可能性が高い、高度な回避技術であると評価されます。具体的には、以下のような形式のURLが確認されました。

[表 3-1] 正規広告プラットフォームのURLおよび悪性URLの例

このような攻撃手法は、正規の広告インフラを経由したリダイレクト構造を悪用することで、初期侵入段階における検知の可能性を著しく低減させると同時に、ユーザの警戒心を効果的に低下させることができる点において、高度化されたスピアフィッシングベースの初期侵入戦術として分類されます。

3-2. 金融機関をテーマにしたなりすまし攻撃 (Financial Institution Impersonation)

2025年12月22日、韓国金融保安院(Financial Security Institute, FSI)は「国家背景ハッキング組織によるLNKマルウェア脅威分析インテリジェンスレポート」を公開しました。

本レポートは、「Dark Prism」キャンペーンを軸に、国家支援型脅威として分類されるAPT37、Kimsuky、Konniの3つのハッキンググループが悪用したLNKベースの悪性ファイルを、深層的に比較・分析している点が大きな特徴です。

単なる事例の羅列にとどまらず、各脅威グループごとの悪性ファイルの構造的構成要素、実行フロー、さらには追加マルウェアの配信プロセスに至るまでを綿密に追跡・分析することで、微細な差異までも識別可能な、極めて高いレベルの分析精度を示しています。

これにより、攻撃主体を効果的に識別・特定できるTTPs(戦術・技術・手順)の観点に基づいた、高度な脅威インテリジェンスを提供しています。

特にKonniグループに関しては、金融機関を騙る文書を用いてマルウェアを配布した事例が多数確認されました。攻撃者は、金融取引の確認、送金に関する疎明要請、個人情報処理への同意など、日常的に接する金融関連の案内を装い、受信者が疑いなくファイルを開封するよう誘導したと分析されます。

悪性ファイル名には、国内金融機関の名称に加え、「疎明資料の提出要請」、「送金および取引明細の確認」、「個人(信用)情報の取り扱い同意書」など、公式な案内文書を連想させる表現が使用されているのが特徴です。

これらのファイルは主にZIP圧縮ファイルの形態で送付され、その内部にはLNKベースの悪性ファイルや、追加のマルウェアが含まれる構造が確認されました。

• (REDACTED)銀行_疎明資料提出の件_20250430TS5869570S.zip

• (REDACTED)銀行_送金および取引明細に関する提出書類(20250722).zip

• (REDACTED)銀行_個人(信用)情報の照会・収集・利用・提供同意書.pdf.zip

• (REDACTED)銀行_送金および取引明細に関する確認資料提出書類.zip

<※ ファイル名例において、実在する市中金融機関の名称はすべて(REDACTED)処理を行っています。>

このような手法は、金融機関への信頼や、業務上馴染みのある表現を悪用してユーザの警戒心を解く、典型的なソーシャルエンジニアリングの手法です。これは、Konniグループが初期感染の成功率を高めるために、継続的に採用してきた常套手段であると分析されます。

今後も、これと同様の金融機関になりすました攻撃が繰り返される可能性が高いため、メールやファイルを受信する際は、件名やファイル名のみで正規の文書と即断せず、細心の注意を払うことが求められます。

3-3. 実際の攻撃事例 (Actual Attack Cases)

前述の通り、本攻撃はスピアフィッシングメールを介して配信されたダウンロードURLを初期侵入の手段として悪用しており、当該URLは正規の広告トラフィックに偽装されていました。

脅威アクターは、広告クリックトラッキング用のURL構造を悪用し、パラメータ内に悪性コンテンツのホスト先であるC2アドレスを隠蔽することで、ユーザおよびセキュリティ製品による初期検知を回避したと分析されます。

さらに、金融関連文書に見せかけたソーシャルエンジニアリングの手口を組み合わせることで、ターゲットの警戒心を巧みに解き、ファイルの実行やリンクのクリックへと誘導する戦略が採用されました。

以下、これらの実測された配布事例をもとに、攻撃者が用いたURL構造、デリバリー手法、そしてマルウェアの実行フローに焦点を当て、より詳細な技術的分析を提示します。

[図 3-1] 正規広告URLのパラメータに埋め込まれた悪性URL

2025年6月までは、韓国内の市中銀行を騙るスピアフィッシングキャンペーンにおいて、悪性ファイルのダウンロードURLをメール本文に直接記載する手口が主流でした。

一方、7月以降は、NAVERやGoogleのマーケティング・広告用URLを経由させ、中間リダイレクトを介して最終的に悪性ファイルのダウンロードへ誘導する攻撃手法が多数確認されています。

4. 詳細分析 (Detailed Analysis)

4-1. 戦術の分析 (Tactical Analysis)

今回確認された攻撃メールでは「display:none」属性(非表示設定)を適用した不可視領域に、文脈上無意味な英文を大量かつ反復的に埋め込む手法が採用されていました。

これにより、エンドユーザには該当テキストが視認されませんが、メールゲートウェイやセキュリティ解析エンジンにおいては、メール本文の一部として処理される可能性があります。

本手法は、従来のシグネチャベースの検知を回避するために用いられたことが確認されています。同時に、AIベースのフィッシング検知システムやスパムフィルターエンジンの「キーワードおよび文脈解析」を撹乱し、全体的な解析精度を低下させることを目的とした、高度な「コンテンツパディング(Content Padding)」手法であると評価されます。

実際のメール本文に埋め込まれたHTMLデータを解析した結果、22種類の英文が一定のパターンで反復挿入されており、その合間に本来の攻撃用メール本文が紛れ込ませてある構造が確認されました。

このような構成は、検知回避を前提に設計された「自動化テンプレート」の使用可能性を示唆しています。また、脅威アクターがメールセキュリティシステムの検知ロジックを明確に熟知した上で、攻撃戦術を高度化させていることを示す事例であると判断されます。

[図 4-1] メール原文HTMLの比較分析

フィッシング検知システムは、単に特定のキーワードの有無を確認するだけではありません。メール全体の文脈、文章構造、意味的な一貫性、さらには単語の出現頻度や反復パターンなどを総合的に分析することで、正規のメールとフィッシングメールを識別します。

しかし、本事例のように文脈上無意味な英単語をランダムに挿入した場合、メールの内容が人為的に長く複雑化し、核心となるフィッシングの文言を正確に識別することが困難になります。

その結果、実際には悪意のある挙動を含んでいるにもかかわらず、正規のメールや低リスクなメールとして「誤検知」、あるいは誤分類される可能性が高まります。

本手法は、単なる難読化の域を超え、AIベースのフィッシング検知システムが持つ判断ロジックを意図的に撹乱するための高度な回避技術であると評価され、今後も同様の手法を用いた攻撃が継続的に発生する可能性があります。

ただし、こうした特徴を詳細に分析し、AIの学習データとしてフィードバックすることで、類似の脅威に対する自動検知システムの精度向上や、防御体制の高度化に繋げることも可能です。

[図 4-2]メール本文に挿入されたURLリンク先アドレス

メール本文の下部には、<img>タグを用いた「ウェブビーコン(Web Beacon)」が挿入されています。

当該ビーコンは1×1ピクセルの透明画像で構成されており、メールクライアントがリモート画像を読み込んだ際、脅威アクターが設定した外部サーバ(kppe[.]pl)へHTTP リクエストが送信される仕組みとなっています。

これにより、脅威アクターは受信者のメール閲覧の有無を識別することが可能となります。また、リクエストパラメータに含まれるBase64エンコード値(un)を利用することで、個々の受信者を特定・追跡する目的で悪用されています。

[図 4-3] 1×1ピクセル大きさのイメージタグ

当該手法は正当なマーケティングメールでも活用されていますが、悪性メールキャンペーンにおいては、受信者のメール閲覧の有無やアクセス可能性を識別するための「事前偵察(Discovery)」目的の手段として悪用される事例が継続的に確認されています。

あわせて、本攻撃ではオープンソースのメール送信ライブラリである「PHPMailer」が活用された形跡が確認されました。PHPMailerは、PHPベースのウェブ環境においてSMTP、Sendmail、Mail関数などを利用してメールを送信できるライブラリであり、正規のウェブサービスやアプリケーションでも広く普及しています。

しかし、悪性メールキャンペーンにおいては、PHPMailerを利用して送信者ヘッダーや表示名(Display Name)を任意に設定できるため、脅威アクターが信頼できる機関や公式メールアドレスを装うために悪用する事例が多数確認されています。このような手法は、受信者の信頼を誘ってメールの閲覧や後続の行動(添付ファイルの実行、リンクのクリックなど)を誘導する「社会工学攻撃」の成功率を高める要因となっています。

4-2. メタデータに基づく証拠分析(Metadata Evidence Analysis)

2025年12月に遂行された攻撃の一部において、金融分野以外のテーマを悪用したスピアフィッシングの手法が識別されました。脅威アクターは、実在する非営利民間団体（NGO）を騙り、北朝鮮の人権問題に対する意識向上および解決策を議論する「アカデミー講師への委嘱」を装っていた形跡が確認されました。

[図 4-4] 北朝鮮人権問題をテーマに偽装されたスピアフィッシング攻撃の画面例

メール本文の下部には、PDFおよびHWPの添付ファイルが2個含まれているように見せかけたUIが構成されており、当該領域のURLリンクを通じて悪性アドレスへと接続されます。

当該URLも同様に、Google広告トラッキングドメインのパラメータを悪用し、ベトナムの国別ドメイン(.vn)を使用するWordPressベースのサーバから悪性ファイルがダウンロードされるよう誘導する構造であることが確認されました。

前述した2025年11月の金融機関なりすまし攻撃と、12月に確認された北朝鮮人権テーマの攻撃の双方において、ZIPファイルがダウンロードされており、圧縮ファイル内部にはWindowsショートカット形式の「LNKファイル」が含まれています。

LNKファイル実行時、Konniキャンペーンで繰り返し確認されている典型的な悪性挙動が確認されました。具体的には、C2サーバから実行ファイル「AutoIt3.exe」と、PDF拡張子に偽装された悪性AutoItスクリプトが追加でダウンロード・実行されます。

金融テーマと北朝鮮人権テーマの攻撃に使用された各LNKファイルを解析した結果、両方のキャンペーンで同一のC2アドレス(jlrandsons.co[.]uk)が使用されており、攻撃コードのパターンも高い類似性を示していることが分析されました。

このようなインフラの再利用(Infrastructure Reuse)の形跡は、これら2つの攻撃が同一の脅威アクターによって遂行された可能性を示唆する決定的な技術的根拠であると判断されます。当該悪性スクリプトは2025年7月頃から報告されている類型で、「EndRAT」または「AutoItRAT」等の名称で分類され、C2サーバとの通信過程で使用される固有の識別子文字列を含んでいます。

• endServer9688
• endClient9688
• endServerFile9688
• endClientFile9688

[図 4-5] AutoItスクリプトの内部コード解析画面

過去の一部「EndRAT」のコード内部には「Poseidon - Attack」という文字列が含まれていましたが、最近分析されたサンプルからは、当該文字列が削除されていることが確認されました。

このような変化は、当該文字列が脅威キャンペーンや攻撃者の特定に活用されるインジケーターであることを攻撃者が認識し、分析の回避や痕跡の隠蔽を目的に修正を行った可能性を示唆しています。

[図 4-6] AutoIt スクリプトのコンパイル指示子

これは、過去に報告されたAutoItベースのRAT系列のサンプルで繰り返し確認されている内部識別文字列と一致しており、「client3.3.14」といった明示的なバージョン表記から、当該マルウェアが継続的に維持・改善される「フレームワーク形式」で運用されていることを示唆しています。このような開発手法は、従来のKonniキャンペーンで確認された特性とも共通点が見られます。

また、脅威アクターはマルウェアのコンパイル過程において、ビルドパスやプロジェクト識別文字列を削除せずに配布したことが分析の結果判明しました。これは、マルウェアの系統および攻撃インフラ間の関連性分析に活用可能な「OPSEC管理上の不備」の事例であると判断されます。

当該ビルドパスの文字列は、EndRAT系列マルウェアの開発環境や内部プロジェクト名を露出させる決定的な証拠であり、本キャンペーンの脅威アクターの特定および関連性分析において重要な技術的手がかりを提供しています。

5. 脅威の帰属 (Threat Attribution)

5-1. Konni キャンペーンの類似事例

Genians Security Centerは、これまでのサイバー脅威インテリジェンス(CTI)分析レポートを通じて、Konniキャンペーンが遂行してきた主要なサイバー作戦の様相や事例を継続的に蓄積・公開してまいりました。

このような過去の活動とのクロス分析(Cross-campaign correlation)は、当該脅威グループが一貫して活用する戦術・技術・手順(TTPs)の特性を体系的に導き出す上で有効であり、攻撃インフラの運用方式と戦略的意図との関連性をより精密に評価するための分析的根拠を提供します。

• 国家主導型のサイバー攻撃組織のAndroidのリモートワイプ攻撃戦術(JP)
• 警察庁および国家人権委員会を騙る「Konni」APTキャンペーンの分析(KR)
• 「Konni」脅威エコシステムの拡張：多角的な分析レポート(KR)
• AutoItを用いた防御回避戦術：Konni APTキャンペーンの技術分析(KR)
  
  

多数のサイバー脅威インテリジェンス(CTI)の分析結果を通じて、Konniキャンペーンの活動は継続的に識別されています。これは、単発の侵害事例の把握にとどまらず、長期間にわたって運用されている脅威アクターの構造的な特性を分析する必要性を示唆しています。

こうした観点から、個別の攻撃に対する技術的分析を超えた、脅威の帰属分析(Threat Attribution)への体系的なアプローチは、当該キャンペーンの実質的な脅威レベルを評価する上で核心的な要素となります。

アトリビューション分析は、単に攻撃の主体を特定することに留まりません。攻撃インフラの運用方式、戦術・技術・手順(TTPs)の反復性、作戦の継続性、および戦略的目標を総合的に理解する上で重要な役割を果たします。特にKonniキャンペーンのように、戦略的目的に基づき長期間活動する国家背景の脅威アクターの場合、個別の事案だけでは把握が困難な運用パターンや攻撃の意図が、アトリビューション分析を通じてより明確に浮き彫りになります。

また、正確な帰属分析は、セキュリティ運用の側面においても実質的な価値を提供します。脅威アクターごとの特性を理解することは、脅威モデリングの高度化、検知ルールの精緻化、脅威ハンティング(Threat Hunting)シナリオの具体化へと繋がり、これは組織の防御戦略を単発の事後対応中心から持続的・先制的な対応体系へと転換させる基盤となります。

したがって、Konniキャンペーンに対する分析は、単発の攻撃検知に留まるのではなく、多数のキャンペーンや長期間確認された活動を総合した脅威帰属中心の分析視点で遂行される必要があります。

このようなアプローチは、脅威アクターの戦略的意図や長期的な作戦の方向性を理解することに寄与し、組織が直面しているリスクをより現実的に評価し、対応の優先順位を設定する上での重要な基準点を提供します。

5-2. 脅威インフラの相関分析

本脅威において識別された主要なホスト、ドメイン、C2アドレス間の関連性を総合的に分析した結果、再利用されたネットワーク資産と確認された特徴が、過去に報告されたKonniキャンペーンの活動と一致することが確認されました。

[図 5-1] 脅威インフラ相関関係図

識別された攻撃フローを総合的に分析した結果、多数のメール送信ホスト、ウェブビーコン用ドメイン、および連携する外部ドメインが、単一の統合されたインフラ体系として運用されていることが確認されました。

特に「ad.doubleclick[.]net」を中心に形成されたドメインの連携構造は、正規の広告トラフィックに偽装することで、攻撃活動の追跡回避およびC2通信の隠蔽を目的として悪用されたものと判断されます。

当該インフラ内において、メール送信ホストとウェブビーコン用ドメインが相互に連携しており、一部のドメインは過去に報告されたKonniキャンペーンで確認されたネットワーク資産の再利用パターンと構造的に一致しています。

また、日本、欧州、東南アジア地域の正規ウェブサイトがリンク用ドメインや中継ノードとして悪用されている点は、当該脅威グループが継続的に採用してきたインフラ隠蔽および検知回避の戦術と合致しています。

攻撃の初期段階で配布された悪性ファイルは、北朝鮮の人権問題を悪用したおとり文書の形式をとっており、韓国に関連する社会・政治的テーマを用いた標的型攻撃であるという点で、従来のキャンペーン特性と一貫性を示しています。

当該ファイルは、実行時に外部C2サーバとの通信を行い、追加の悪性挙動を遂行するように設計されていることが分析されました。

このように、ウェブビーコンベースの追跡構造、正規サービスドメインを悪用したインフラ構成、ネットワーク資産の再利用、そして北朝鮮人権問題を悪用した「おとり文書」という複合的な要素を総合的に考慮すると、本脅威は戦術・技法・インフラの全般において、過去に報告されたKonniキャンペーンと極めて高い水準の関連性を示しています。

したがって、本脅威活動は十分な技術的根拠に基づき、Konni脅威グループによる犯行であると帰属されます。

6. 結論及び対応 (Conclusion) 

本脅威は、正規の広告インフラのリダイレクトメカニズムを悪用することで、URLレピュテーションベースのセキュリティ体系やメールセキュリティフィルタリングを回避する、高度な初期侵入戦術を採用しています。

特に、正規ドメインを攻撃チェーンの一部として組み込むことで、ユーザの信頼をあらかじめ確保した上で、多段階のリダイレクトを経て悪性ファイルの配布インフラへと接続させる構造をとっています。

このような攻撃特性を考慮すると、本脅威は単一のセキュリティソリューションやIoCベースの遮断ポリシーのみでは効果的な対応が困難なAPT攻撃であると評価でき、脅威アクターのTTPsを中心とした多層防御戦略が求められます。

6-1. メールおよびユーザの初期接点における対応

金融機関、公的機関、人権団体などを騙るメールに対しては、添付ファイルベースのアプローチを原則として遮断、または隔離するポリシーを適用する必要があります。

ZIPファイルに含まれるLNKなど、多段階の実行が可能なファイルフォーマットについては、業務上の必要性を再検討し、不要なフォーマットは受信拒否または自動隔離の対象に指定することが望ましいです。

ファイル名に「疎明資料」、「送金確認」、「取引明細」、「個人情報同意」などの金融・行政関連のキーワードが含まれる添付ファイルに対しては、ユーザへの警告バナーの表示や、追加の確認手順を適用する必要があります。

6-2. 広告リダイレクトURLの悪用への対応

正規の広告ドメイン自体を遮断するのではなく、広告クリック後のリダイレクト先(URL chain)の最終目的地や、業務外のファイルダウンロードへと至るフローについて、プロキシおよびセキュリティゲートウェイでの振る舞い検知を強化する必要があります。

広告リダイレクトURLを経由して圧縮ファイル(ZIP)や実行ファイルのダウンロードが発生した場合、これを「異常な振る舞い」として分類し、追加の検証や遮断ポリシーを適用することが効果的です。

6-3. EDR ベースの検知および対応策

本脅威は、LNKファイル、AutoItスクリプト、メモリローディング方式のリモートアクセスツール(RAT)を組み合わせることで、静的シグネチャベースの検知を回避する特性を有しています。そのため、エンドポイントにおける挙動ベースの検知(EDR)を中心とした対応が不可欠です。

攻撃はユーザによるファイル実行を起点として段階的に展開され、ZIP圧縮ファイル内のLNKファイルが正規の文書を装って実行される初期侵入の手口が確認されています。

このような攻撃フローに対し、Geniansの統合エンドポイントセキュリティプラットフォームである「Genian Insights E」は、端末の挙動ベース検知（EDR）を通じて、LNK実行後に実際に呼び出されるプロセスが正規の文書ビューアーではなく、cmd.exe、powershell.exe、AutoIt実行ファイル等へと繋がる異常なプロセスツリーをリアルタイムで識別することが可能です。

また、アンチウイルス(Anti-Virus)、IoC(侵害指標)、マシンラーニング(機械学習)、XBA(挙動ベース検知エンジン)等を活用した相関分析により、単一の実行イベントではなくフロー単位で脅威を判定します。これにより、攻撃が本格化する前の段階で、APT攻撃を効果的に検知・遮断することができます。

[図 6-1] EDR ベースの初期侵入フロー確認

Genian EDRの攻撃ストーリーライン(Attack Storyline)機能を活用することで、スピアフィッシング攻撃によって侵入したZIP添付ファイルのダウンロードから、解凍、そして内部のLNKショートカット実行に至る初期侵入の全過程を、段階別に明確に可視化することが可能です。

特に、圧縮ファイル内部に含まれるLNKショートカットファイルの実行挙動は、EDRの挙動ベース検知エンジン(XBA)によって、正規のユーザ操作とは異なる異常な兆候として即座に識別されます。

これにより、悪意ある挙動が実際のペイロード実行前、あるいは初期段階で検知され、早期対応が可能となります。

EDR管理者は、攻撃ストーリーラインに基づき、以下のような即時対応措置を講じることができます。

• 端末の隔離 : 事前設定されたポリシーに従い、感染の疑いがある端末に対して自動または手動で「ネットワーク隔離」を実行
• 証拠保全と検体の収集 : 悪性LNKファイルおよび関連するZIPファイルの証拠収集(フォレンジック)、IoCの手動登録、および当該ファイルの削除
• 範囲調査 : 関連するプロセスツリーやネットワーク接続情報を確保し、追加の侵害範囲を調査
  
  

これらの機能は、個別のイベント検知の域を超え、攻撃フロー全体をコンテキスト(Context)に基づいて理解することを支援し、分析の効率性と対応スピードを同時に向上させます。

[図 6-2] 悪性コマンドの識別画面

悪性LNKファイルの実行後、EDRは当該ショートカットファイル内に隠蔽されたコマンドライン情報を自動的に収集・可視化して提供します。これにより、EDR管理者はLNKファイルに含まれるPowerShellの全実行コマンドを、別途の手動解析を介することなく容易に確認することが可能です。

このような機能は、単なるイベント検知の域を超え、攻撃者の実質的な実行意図や挙動の内容を迅速に把握することを支援し、侵害対応時間(Mean Time To Respond, MTTR)を実質的に短縮させることに役立ちます。

MTTRが長期化するほど、脅威アクターが内部環境において追加の権限昇格、側面的移動(Lateral Movement)、データ窃取といった後続攻撃を遂行する可能性が高まります。

対照的に、MTTRを短縮することで攻撃者の活動時間を効果的に制限することができ、侵害範囲を最小限に抑え、致命的な被害の拡大を未然に防ぐことに直結します。

[図 6-3] C2 通信の異常挙動の検知画面

EDRは、悪性LNKの実行後にPowerShellコマンドを介して行われる後続活動を継続的にモニタリングし、その過程で脅威アクターが事前に指定したC2サーバとのネットワーク通信イベントを収集・分析します。

収集された通信情報は、プロセスの実行コンテキストと紐付けて分析され、正規のPowerShell使用パターンとは異なる異常な外部接続の試みを異常挙動として識別します。

特に、PowerShellプロセスが外部IPやドメインと通信し、追加のペイロードをダウンロードしたり攻撃コマンドを受信したりする行為は高リスク指標として分類され、EDRの振る舞い検知ポリシーに従って、即座に検知およびアラート通知が行われます。

これにより、EDR管理者は以下のような対応効果を確保できます。

• C2通信を介した追加マルウェア侵入の試みを早期検知
• 遠隔コマンド受信による後続攻撃(権限昇格、横展開)の遮断
• 通信先(IP、ドメイン、URL)に基づいた全社的な遮断およびスレットハンティング
  
  

近年のPowerShellを用いた攻撃では、ファイルレス(Fileless)形式でC2通信を行う事例が頻繁に確認されており、このようなケースではネットワーク挙動の可視性が感染の成否を判断する核心的な指標となります。

したがって、プロセスベースのネットワークイベントを統合的に分析できるEDR環境は、単なるファイル検知の域を超え、振る舞い中心の脅威検知体系を構築する上で決定的な役割を果たすものと判断されます。

7.  セキュリティ侵害インジケーター (IoC, Indicator of Compromise)

• MD5

f5842320e04c2c97d1f69cebfd47df3d

6a4c3256ff063f67d3251d6dd8229931

8b8fa6c4298d83d78e11b52f22a79100

303c5e4842613f7b9ee408e5c6721c00

639b5489d2fb79bcb715905a046d4a54

908d074f69c0bf203ed225557b7827ec

0171338d904381bbf3d1a909a48f4e92

0777781dedd57f8016b7c627411bdf2c

94935397dce29684f384e57f85beeb0a

a9a52e2f2afe28778a8537f955ee1310

a58ef1e53920a6e528dc31001f302c7b

ad6273981cb53917cb8bda8e2f2e31a8

d4b06cb4ed834c295d0848b90a109f09

d6aa7e9ff0528425146e64d9472ffdbd

• C2

109.234.36[.]135

144.124.247[.]97

77.246.101[.]72

77.246.108[.]96

aceeyl[.]com

althouqroastery[.]com

anupamaivf[.]com

appoitment.dotoit[.]media

creativepackout[.]co

encryptuganda[.]org

genuinashop[.]com

igamingroundtable[.]com

jlrandsons.co[.]uk

kppe[.]pl

kyowaind.co[.]jp

nationalinterestparty[.]com

optique-leclercq[.]be

pomozzi[.]com

sparkwebsolutions[.]space

tatukikai[.]jp

vintashmarket[.]com