国家の支援を受けたハッカー集団が、正規のセキュリティツールを悪用して企業に侵入する時代になった。 ロシア連邦軍参謀本部情報総局(GRU)配下のAPT28(別名:Fancy Bear、Forest Blizzard)が、カスタムバックドア「BeardShell」と正規のレッドチームツール「Covenant」を組み合わせた新たな攻撃キャンペーンを展開している。
「国家支援型の攻撃は大企業や政府機関だけが標的」——この認識はもはや正しくない。APT28はサプライチェーン攻撃を通じて中小企業を踏み台にする手口を常用しており、日本企業も例外ではない。
本記事では、APT28の最新手口を解説し、中小企業のIT担当者が実行すべき防御策を具体的に示す。
APT28とは何者か
| 項目 | 内容 |
|---|---|
| 別名 | Fancy Bear、Forest Blizzard、Sofacy、Pawn Storm |
| 帰属 | ロシア連邦軍参謀本部情報総局(GRU)第85主要特殊サービスセンター(Unit 26165) |
| 活動期間 | 2004年頃から現在まで |
| 主な標的 | 政府機関、軍事組織、メディア、エネルギー企業、IT企業 |
| 過去の主要攻撃 | 2016年米大統領選干渉、ドイツ連邦議会への攻撃、各種スポーツ機関への攻撃 |
なぜ中小企業が標的になるのか
APT28が中小企業を直接の標的とするケースは少ないが、以下のシナリオで巻き込まれるリスクがある。
- サプライチェーン攻撃:大企業の取引先である中小企業に侵入し、そこを踏み台にして本丸にアクセスする
- 水飲み場攻撃:特定業界の企業がよく閲覧するWebサイトを改ざんし、訪問者にマルウェアを配布する
- ツールの汎用化:APT28が使用するツールや手法が他の犯罪グループに流用され、中小企業を狙った攻撃に転用される
BeardShellの技術的特徴
BeardShellは、APT28が新たに開発したカスタムバックドアだ。
| 特徴 | 詳細 |
|---|---|
| 種類 | PowerShellベースのバックドア |
| 初期侵入 | スピアフィッシングメールに添付されたマクロ付きOfficeファイル |
| 永続化 | Windowsタスクスケジューラを利用した自動起動 |
| C2通信 | HTTPSによる暗号化通信(正規のWebトラフィックに偽装) |
| 主な機能 | コマンド実行、ファイル操作、スクリーンキャプチャ、認証情報の窃取 |
| 検知回避 | コードの難読化、AMSI(Antimalware Scan Interface)のバイパス |
感染フロー
- スピアフィッシングメール:業務関連の内容を装ったメールにOfficeファイルを添付
- マクロ実行:ユーザーがマクロを有効化すると、PowerShellが起動
- BeardShellのダウンロード:エンコードされたスクリプトがC2サーバーからダウンロードされる
- 永続化:タスクスケジューラに定期実行タスクを登録
- 偵察と横展開:Active Directoryの情報収集、権限昇格、Covenantの投入
Covenantの悪用——正規ツールが凶器になる
Covenantとは
Covenantは、もともとレッドチーム(攻撃者視点でのセキュリティテスト)のために開発された正規のオープンソースツールだ。.NET Frameworkで動作するC2(Command & Control)フレームワークとして、ペネトレーションテスターに広く利用されている。
なぜ正規ツールが悪用されるのか
| 理由 | 詳細 |
|---|---|
| 検知が困難 | 正規ツールのため、多くのアンチウイルスがマルウェアとして検知しない |
| 機能が豊富 | ファイル操作、プロセス操作、権限昇格、横展開などの機能が揃っている |
| 開発コスト削減 | 攻撃者が独自ツールを開発する手間が省ける |
| 帰属分析の困難化 | 正規ツールの使用は攻撃者の特定を困難にする |
企業が実行すべき防御策
対策1:メールセキュリティの強化
BeardShellの初期侵入経路はスピアフィッシングメールだ。
- Officeファイルのマクロをグループポリシーで無効化する(「インターネットから取得したファイルのマクロをブロック」設定)
- メールゲートウェイで添付ファイルのサンドボックス検査を有効にする
- 不審なメールの報告フローを全社員に周知する
対策2:PowerShellの監視と制限
BeardShellはPowerShellベースであるため、PowerShellの制御が重要だ。
- スクリプトブロックログ(Event ID 4104)を有効にし、SIEMで監視する
- Constrained Language Modeを適用し、PowerShellの機能を制限する
- AppLockerまたはWDACで、承認されたスクリプト以外の実行を禁止する
対策3:C2通信の検知
BeardShellとCovenantはHTTPSで通信するため、暗号化された通信の中身を直接検査することは困難だ。以下の代替手段を活用する。
- DNSクエリの監視:不審なドメインへの名前解決をDNSログで検知する
- JA3/JA3Sフィンガープリント:TLSハンドシェイクのパターンから不審な通信を特定する
- ネットワークの異常検知:通常と異なる通信パターン(深夜の大量データ送信など)をアラートする
対策4:Active Directoryの保護
APT28はActive Directory(AD)を標的にして権限昇格と横展開を行う。
- 特権アカウントの最小化:Domain Adminsのメンバーを必要最小限にする
- LAPS(Local Administrator Password Solution)の導入:各端末のローカル管理者パスワードを自動でランダム化する
- Kerberoasting対策:サービスアカウントに長く複雑なパスワードを設定し、定期的に変更する
対策5:インシデント対応計画の整備
APT28レベルの攻撃に遭遇した場合に備え、インシデント対応計画を整備する。
- 初動対応の手順書(誰が何をするか)
- 外部インシデント対応サービスの連絡先
- ログの保全手順(最低90日間の保持を推奨)
- 関係当局(警察、JPCERT/CC)への報告手順
まとめ
APT28のBeardShell+Covenant攻撃は、国家支援型の高度な脅威だが、防御策の基本は変わらない。メールセキュリティ、PowerShell制御、C2通信の検知、AD保護——この4層の防御を着実に実装することが最も効果的だ。「うちは標的にならない」ではなく「サプライチェーンの一部として巻き込まれる」前提で備えてほしい。
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
APT28のBeardShellとCovenant悪用|国家支援型脅威アクターの最新手口と防御策を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
国家支援型脅威への防御体制を診断しませんか?
GXOでは、APT攻撃を想定したセキュリティ診断サービスを提供しています。メールセキュリティ、PowerShell設定、Active Directoryの権限管理、C2通信の検知体制まで、包括的に評価し改善策をご提案します。