北朝鮮APTが「USB×クラウド」でエアギャップの壁を突破
北朝鮮の国家支援型ハッカー集団「ScarCruft(APT37)」が、USBマルウェアと正規クラウドサービスを組み合わせた新たな攻撃手法を展開していることが判明しました。The Hacker Newsの報道によると、この「Ruby Jumper」と呼ばれるキャンペーンは、従来は安全とされてきたエアギャップネットワーク(インターネットから物理的に隔離されたネットワーク)をも侵害する能力を持っています。防衛、政府機関、重要インフラを運営する企業にとって、最高度の警戒が必要な脅威です。
攻撃の仕組み──正規SaaSとUSBの「二刀流」
Zscaler ThreatLabzが2025年12月に発見し、2026年2月27日に公開した調査レポートでは、ScarCruftが複数の新型マルウェアを連携させた多段階感染チェーンを構築していることが明らかになりました。
攻撃の中核となるのは「RESTLEAF」と「THUMBSBD」という2つのマルウェアです。RESTLEAFは、業務用クラウドストレージサービスであるZoho WorkDriveを攻撃者との通信経路(C2サーバー)として悪用するバックドアです。正規のSaaSサービスを経由するため、従来のネットワーク監視では不審な通信として検知されにくいという特徴があります。
一方のTHUMBSBDは、リムーバブルメディア(USBメモリなど)を介してコマンドを中継するインプラントです。インターネットに接続されていないエアギャップ環境であっても、USBデバイスを通じて侵入し、機密情報を窃取することが可能です。
感染の起点はLNKファイル(Windowsショートカット)を添付したメールです。ユーザーがLNKファイルを開くと、PowerShellコマンドが起動し、ファイルサイズに基づいて自身を特定、固定オフセットからデコイ文書と実行可能ファイルを抽出するという巧妙な仕組みになっています。このほか、SNAKEDROPER、VIRUSTASK、FOOTWINE、BLUELIGHTなどのマルウェアファミリーも確認されており、被害者システム上での監視活動を支援しています。
なぜ今、この脅威が重要なのか
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
エアギャップネットワークへの侵害は、2010年のStuxnet(イランの核施設を標的としたサイバー兵器)以来、国家レベルの攻撃として知られてきました。しかし今回の手法は、従来のUSB感染に加えて、正規SaaSサービスをC2通信に悪用するという点で新しい段階に入っています。
注目すべきは、ロシアの国家支援型グループAPT28が2月25日に発覚した「MacroMaze」キャンペーンでwebhook.siteを悪用した手口と共通するパターンが見られることです。国家APTによる「正規サービス悪用」のトレンドが世界的に加速しており、企業のセキュリティ対策の前提を根本から見直す必要が出てきています。
企業が今すぐ取るべき対策
この脅威から自社を守るために、以下の対策を早急に検討してください。
まず、USB使用ポリシーの再強化が急務です。特にエアギャップ環境や機密性の高いシステムでは、リムーバブルメディアの使用を原則禁止とし、やむを得ず使用する場合は専用のスキャン端末を経由させるルールを徹底すべきです。
次に、Zoho WorkDriveをはじめとするクラウドストレージサービスへの外部通信を監視する体制を整えてください。正規サービスであっても、業務上の利用実態と照らし合わせて不審なアクセスパターンがないか確認することが重要です。
メール経由の感染を防ぐため、LNKファイルの添付をブロックするフィルタリングルールの導入も有効です。多くの企業ではLNKファイルを業務でメール添付する必要性は低いため、一律でブロックしてもビジネスへの影響は限定的です。
さらに、エアギャップ環境におけるリムーバブルメディアの管理を厳格化し、持ち込み可能なデバイスを登録制にするなどの措置も検討してください。
最後に、定期的な脅威インテリジェンスの収集と社内への共有を行い、最新の攻撃手法に対する組織全体の認識を高めることが大切です。
まとめ
北朝鮮のScarCruftが展開する「Ruby Jumper」キャンペーンは、USBとクラウドSaaSを組み合わせた新手法でエアギャップの壁を越える深刻な脅威です。正規サービスを悪用する攻撃は検知が難しく、従来の対策だけでは防ぎきれません。USB管理の徹底、クラウド通信の監視、メールフィルタリングの強化を今すぐ始めることが重要です。
自社のセキュリティ体制に不安がある場合は、専門家への相談をおすすめします。GXOは180社以上の支援実績を持ち、SIEM/SOARの導入からSOC運用、インシデント対応まで一気通貫でサポートしています。まずはお気軽にご相談ください。
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
![2025年最新!ChatGPT vs Claude徹底比較ガイド](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" width="800" height="400" viewBox="0 0 800 400"%3E%3Crect width="800" height="400" fill="%236366f1"/%3E%3Ctext x="50%25" y="50%25" text-anchor="middle" dy=".3em" fill="white" font-family="Inter" font-size="32"%3EAI比較ガイド%3C/text%3E%3C/svg%3E)
