APT28「MacroMaze」正規サービス悪用の新手口と対策Webhook.siteをC2に悪用、欧州政府・防衛機関を標的にした諜報活動の実態

正規Webhookサービスを悪用した新たな諜報活動が発覚

ロシア系国家支援グループAPT28（Fancy Bear）が、正規のWebhookサービス「webhook.site」を指令サーバーとして悪用し、欧州の政府・防衛機関を標的にした諜報活動を展開していたことが明らかになりました。The Hacker Newsの報道によると、この攻撃キャンペーン「Operation MacroMaze」は2025年9月から2026年1月にかけて実施され、西・中央欧州の政府、外交、防衛関連組織が被害を受けています。政府機関を標的とした手法ですが、同様の攻撃は一般企業にも容易に転用可能であり、日本企業も決して他人事ではありません。

今回の攻撃で特に注目すべきは、ゼロデイ脆弱性や複雑なエクスプロイトを使用せず、「基本的なツールと正規サービスの組み合わせ」だけで高度な諜報活動を実現している点です。webhook.siteは開発者がWebhook機能をテストするための正規サービスであり、多くの企業ネットワークで通信がブロックされていません。この盲点を突いた手法は、従来のセキュリティ対策をすり抜ける危険性があります。

Webhook C2とHeadlessブラウザを悪用した攻撃手法

S2 GrupoのLAB52脅威インテリジェンスチームが公開した分析によると、攻撃は5段階で進行します。まず、標的組織にスピアフィッシングメールで悪意あるOffice文書を送付します。この文書にはXML内にINCLUDEPICTUREフィールドが埋め込まれており、webhook.siteのURLを参照することで、文書を開いた瞬間にトラッキングピクセルとして機能し、攻撃者に開封を通知します。

次に、文書内のVBScriptマクロがCMDまたはBATファイルをドロップし、スケジュールタスクによって永続化を確立します。最終段階では、Microsoft EdgeのHeadlessモードを悪用してwebhook.siteからコマンドを取得し、実行結果を同サービス経由で窃取します。研究者らは4種類のマクロバリアントを確認しており、SendKeysによるUI操作でセキュリティプロンプトを回避するなど、検出を困難にする工夫が施されています。

ブラウザのHeadlessモードを悪用したデータ窃取は比較的新しい手法であり、従来のネットワーク監視では正規のブラウザ通信と区別がつきにくいという課題があります。

国家アクターによる攻撃手法の多様化

APT28は2024年以降も継続的に欧州を標的としており、Active Directoryへの攻撃やVPN脆弱性の悪用など、多様な手法を用いています。今回の「Operation MacroMaze」は、高度な技術力よりも運用上の規律と正規サービスの悪用を重視した「低技術・高運用規律」のアプローチが特徴です。

2月16日に報告されたAPT31による「HexStrike MCP攻撃」と合わせて考えると、国家支援型アクターが正規インフラやサービスを悪用する傾向は今後も続くと予想されます。これは、従来の「既知の悪意あるIPアドレスやドメインをブロックする」というアプローチだけでは防御が不十分であることを示しています。

企業が今すぐ実施すべき4つの対策

このような攻撃から組織を守るためには、複合的な対策が必要です。特に海外拠点を持つ企業、防衛・エネルギー関連のサプライチェーンに属する企業、政府機関との取引がある企業は優先的に対策を検討すべきです。

第一に、webhook.siteをはじめとするWebhookサービスへの外部通信を監視し、業務上必要でなければ制限することを検討してください。開発チームが正規に使用している場合は、許可リストによる管理を導入することで、不正な通信を検出しやすくなります。

第二に、Office文書のINCLUDEPICTURE機能や外部参照をブロックするポリシーを確認・強化することが重要です。グループポリシーやセキュリティソフトウェアの設定で、文書を開いた際の外部通信を制限できます。

第三に、EdgeやChromeのHeadlessモードが不審なプロセスから起動されていないか監視する仕組みを構築してください。EDR製品やSIEMでブラウザの起動パラメータを監視することで、異常な動作を早期に検出できます。

第四に、マクロ無効化ポリシーを改めて徹底することが基本対策として有効です。業務上マクロが必要な場合は、信頼できる発行元からの署名付きマクロのみを許可する設定を検討してください。

まとめ

APT28の「Operation MacroMaze」は、正規サービスを悪用することで従来のセキュリティ対策をすり抜ける新たな脅威です。Webhookサービスの通信監視、Office文書の外部参照制限、Headlessブラウザの監視、マクロポリシーの徹底という4つの対策を組み合わせることで、リスクを大幅に低減できます。

GXOでは、SIEM/SOAR導入支援やSOC運用、インシデント対応まで、180社以上の支援実績をもとにセキュリティ体制の構築を伴走型でサポートしています。ご相談では、Webhook系サービスへの通信棚卸し、Officeマクロ統制の現状診断、Headlessブラウザ検知の仕組み構築など、具体的な対策ロードマップを整理できます。自社のセキュリティ体制を見直したい場合は、ぜひGXOにご相談ください。