フィンランドのセキュリティ企業であるWithSecure(ウィズセキュア)はこのほど、同社CISO(最高情報セキュリティ責任者)のChristine Bejerasco(クリスティン・ベヘラスコ)氏が来日し、ウクライナを標的としたロシア系の攻撃グループに関するサイバー脅威の最新動向について紹介した。

サイバー犯罪の産業化とAI活用の進展

まず、ベヘラスコ氏はサイバー犯罪の現状認識について示した。昨今ではサイバー犯罪自体が産業化し、国家と犯罪組織の分業体制が確立しているほか、20年以上も用いられているソーシャルエンジニアリングやフィッシングは、現在でも侵入経路として効率的な手法だと指摘。また、攻撃者側のAI活用も進展し、これまでフィッシングメールの作成やマルウェアの作成などが確認されたが、今後はさまざまな局面においてAIの活用が進むとの見立てだ。

  • WithSecure CISO(最高情報セキュリティ責任者)のChristine Bejerasco(クリスティン・ベヘラスコ)氏

    WithSecure CISO(最高情報セキュリティ責任者)のChristine Bejerasco(クリスティン・ベヘラスコ)氏

こうした現状において、同社の脅威インテリジェンスチームでは新たな脅威アクター「GREYVIBE」を観測。活動は2025年9月~2026年4月まで確認されており、同アクターの攻撃は、活動時間帯がモスクワ時間(UTC+3)と一致していることから、ターゲットの選定や実際に被害を受けたのはウクライナの政府組織やウクライナ軍などに関連していると分析している。

  • 「GREYVIBE」の概要

    「GREYVIBE」の概要

同氏は「ロシアの国家的な組織ではなく、ロシア国内で雇われているサイバー犯罪集団であると考えている。こうした組織がアンダーグラウンドで使えるサービスを持っているため、ロシアが使えるということは明日には他組織も同様の手法を使うことができることになる」と述べている。

GREYVIBEの手法はペイロード(攻撃コード)とデコイ(囮)を組み合わせており、攻撃ライフサイクル全体でLLM(大規模言語モデル)を活用している点に特徴がある。攻撃チェーンはルアー(偽装したWebサイトなどに誘導)→バンドル(ZIP化や偽装パッケージングなど)→ローダー→ペイロード+デコイという段階を踏むが、人手で行うZIPファイルなどのバンドル以外は生成AIを利用している。

ベヘラスコ氏は「ペイロードと、デコイを組み合わせて複数の攻撃キャンペーンを作成するには時間がかかる。しかし、時間をかけてキャンペーンを仕掛けることで、被害者は実際に攻撃を受けていることに気付かないことに加え、システムにマルウェアが侵入していることさえ気付かない」と話す。

GREYVIBEの攻撃キャンペーン - フィッシングからRAT展開まで

ここで、同氏はGREYVIBEが仕掛けている複数のキャンペーンとして「PhantomMail」「PhantomClick」「PrincessClub」「DroneLink」「Nebo」を解説した。

PhantomMail

まずPhantomMailは、ウクライナ政府やエネルギー関連組織を装ったスピアフィッシングメールを起点とする。

被害者はGoogle Driveなどに置かれたZIPファイルを開くが、中にはローダーが仕込まれており、裏でリモートアクセス型マルウェア「PhantomRelay」が実行される。一方で、偽の公式文書PDFやエラーポップアップを表示し「単なる不具合」と認識させるデコイが巧妙に組み合わされている点が特徴だ。

  • PhantomMailの概要

    PhantomMailの概要

PhantomClick

PhantomClickはさらに進化し、ClickFixと呼ばれる手法を用いる。偽のZoom会議案内やCloudflareを装った認証画面を通じて、被害者自身にPowerShellコマンドを実行させることで感染を成立させる。

最終的には同様にPhantomRelayが展開されるが、実際には正規のZoom会議に参加できるため、不審に思うきっかけがほぼ残らない。

  • PhantomClickの概要

    PhantomClickの概要

PrincessClub

PrincessClubは個人領域に踏み込む点が特徴で、Telegram上の人物になりすまし、実在するかのようなアダルトサイトへ誘導する。

閲覧に必要な「コーデック」を装ったインストーラーがマルウェアのローダーとなり、インストール後は音声・映像の取得など継続的な監視が行われる。サイト自体も実際に機能するため、被害者は不正を疑いにくい。

  • PrincessClubの概要

    PrincessClubの概要

DroneLink

DroneLinkでは、ウクライナ軍支援の慈善団体を装う。公式サイトのように作り込まれたページから申請フォームをダウンロードさせ、リンクファイル経由でRATやリバースシェルを展開する。

スクリーンショット取得やキーログなどの機能を備え、継続的な侵入と情報窃取を狙う。善意や支援意識という「信頼」を悪用する点が共通している。

  • DroneLinkの概要

    DroneLinkの概要

Nebo

Neboは、ロシア軍システムを装ったログイン画面などを用いる軍事テーマ型のルアーだ。偽のアップデート画面を見せる間にスパイウェアが動作し、連絡先や位置情報などを収集する。最終的には互換性エラーを表示し、単なる互換性問題と誤認させる設計になっている。

これらキャンペーンに共通するのは、攻撃の成功を「侵入」ではなく「信頼の獲得」に依存させている点だ。正規のサービスや実在する組織、さらには人間関係までを巧妙に模倣し、違和感のない体験を演出することで検知を回避する。

  • Neboの概要

    Neboの概要

そして、終盤にベヘラスコ氏はAIについて言及。同氏は「生成AIは偽サイトやコンテンツ生成だけでなく、ローダーやRAT開発にも活用され、攻撃全体のスピードと精度を高めている。結果として、侵入から活動開始までの時間が短縮され、防御側に残される対処の猶予は場合によっては、従来の数日単位から数分レベルへと縮小している」と述べ、プレゼンテーションを結んだ。

  • 攻撃者のワークフロー全体にAIは織り込まれているという

    攻撃者のワークフロー全体にAIは織り込まれているという

今後、企業に求められるのは、技術的対策だけでなく「不審に見えない攻撃」を前提とした新たなセキュリティ戦略への転換になるだろう。