戦場を越えて: 防衛産業基盤への脅威

※この投稿は米国時間 2026 年 2 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

はじめに

現代の戦争では、戦地の最前線にとどまらず、国を守る産業のサーバーやサプライ チェーンまでもが戦いの場と化しています。防衛部門は現在、国家支援型アクターや犯罪グループからの絶え間ないサイバー攻撃に直面しています。Google Threat Intelligence Group（GTIG）は近年、防衛産業基盤（DIB）を標的とする攻撃が、いくつかの明確な領域に集中していることを観測しています。すべての脅威アクターと手口を網羅しているわけではありませんが、現在の状況で特に顕著なテーマを以下に示します。

• ロシアとウクライナの戦争では、戦場でテクノロジーを配置する防衛機関を標的とする活動が継続的に行われています。この環境で次世代の機能が運用化されるにつれて、ロシア系の脅威アクターやハクティビストは、軍事資産や軍事システムとともに防衛関連請負業者を侵害しようとしており、無人航空機システム（UAS）に関与する組織に重点を置いています。防衛企業を直接標的にし、その製品やシステムを模倣したテーマを軍事組織や軍関係者に対する侵入に使用する場合もあります。

• 世界中の航空宇宙・防衛企業において、従業員を直接標的にすること、採用プロセスを悪用することが重要なテーマとして浮上しています。北朝鮮の IT 労働者による脅威、イランのエスピオナージ（サイバースパイ） アクターによる求人ポータルの偽装、防衛関連請負業者の個人メールの直接的な標的化など、GTIG は、人員を中心とする多面的な脅威の状況を継続的に観測しています。多くの場合、従来の企業セキュリティを回避する手法が用いられています。

• GTIG が分析した過去 2 年間の国家支援型サイバー エスピオナージの侵入では、防衛産業基盤の組織に対する中国系グループによる脅威活動が、その数において引き続き最大となっています。こうした侵入では引き続きさまざまな戦術が利用されていますが、UNC3886 や UNC5221 などのアクターによるキャンペーンでは、中国系脅威アクターが初期アクセスの手段としてエッジデバイスやエッジ アプライアンスを標的とする戦術が増え、航空宇宙・防衛部門に重大なリスクをもたらしていることが浮き彫りになっています。ウクライナの戦場で確認されたロシア系の脅威と比較すると、これらの脅威は準備段階のアクセスや研究開発の窃盗ミッションをサポートする可能性があるものです。

• 最後に、現代の国家安全保障戦略は、安全なサプライ チェーンに大きく依存しています。2020 年以降、ランサムウェアや恐喝活動に関連して GTIG が追跡しているデータ漏洩サイト（DLS）で最も多く取り上げられているのは製造業となっています。航空宇宙・防衛に特化した組織は、同様の活動のほんの一部にすぎませんが、製造部門全体には、防衛目的にも利用可能なデュアルユース部品を提供する企業が多数含まれています。この統計は、産業基盤のサプライ チェーンがさらされているサイバーリスクを浮き彫りにしています。侵入が IT ネットワークに限定された場合でも、戦時環境下で防御部品を増産する能力が影響を受ける可能性があります。また、ハクティビズムの世界的復活と、ハック アンド リーク活動、DDoS 攻撃、その他の妨害行為を行うアクターの出現も、防衛産業基盤に影響を与えています。

これらのテーマには、他にも共通点が見られます。サイバー エスピオナージやハクティビストのアクターを支援する主要な国家の多くは、自律走行車やドローンに関心を示しています。これらのプラットフォームは、現代の戦争においてますます重要な役割を果たすようになっているからです。さらに、Mandiant M-Trends 2024 レポートで初めて取り上げられた「検出の回避」の傾向は続いており、アクターは単一のエンドポイントや個人に重点を置いたり、エンドポイントの検出と対応（EDR）ツールを完全に回避しようとする方法で侵入を実行したりしています。このように激しい競い合いが繰り広げられる複雑な環境は、従来の検出戦略では対応が難しく、脅威に対抗するためには、セキュリティ担当者から政策立案者まで、あらゆる関係者に創造的な思考が求められます。

1. ロシアは長年にわたり、ウクライナとその他の地域で重要かつ新たな防衛技術を標的に

ロシアのエスピオナージ アクターは、西側諸国の防衛機関に長年関心を示してきました。ロシアによるウクライナへの全面侵攻が始まったのは 2022 年 2 月ですが、ロシア政府は長らくこの紛争を、西側諸国がロシアの勢力圏に侵入することに対するより広範なキャンペーンの延長と見なしており、それに応じて、ウクライナと西側の軍事機関や防衛関連機関を、物理的な作戦とサイバー作戦で標的にしてきました。

ウクライナとの戦争などにおけるロシアの軍事目的でのサイバー作戦の利用は多岐にわたります。戦術レベルでは、前線での活動などをサポートするために、標的が組織だけでなく個人にも及んでいます。これは、カスタム製品ではなく、公開技術や既製技術への依存が少なくとも部分的に原因である可能性があります。ロシアの脅威アクターは、ウクライナ軍が軍事活動の連絡や調整に使用する安全なメッセージ アプリを標的にしています。たとえば、ロシアがウクライナへの侵攻中に手に入れたモバイル デバイスから、ローカルに保存されたアプリのデータベースを抜き取ろうとしています。このように個人のデバイスやアカウントが侵害されると、さまざまな面で課題が生じます。たとえば、このような活動は従来の監視対象とされてきた領域の外で発生することが多いため、防御側はこのような脅威を監視または検出するための可視性が不十分となります。GTIG は、Delta や Kropyva などの戦場管理システムのユーザーを侵害しようとする試みも特定しています。これは、戦術的取り組みの調整と重要なインテリジェンスの発信において、これらのシステムが重要な役割を果たしていることを裏付けています。

ロシアのエスピオナージ活動は、より広範には、ウクライナに加え、紛争においてウクライナを支援する西側諸国の企業、あるいは西側諸国向けに防御能力の開発と提供に注力する企業も標的にしています。その際には、軍事品の製造企業、ドローンの製造と開発、対ドローン防衛システム、監視システムをテーマにしたインフラストラクチャやおとりが使用されており、このような技術を必要とする組織を標的としている可能性が示されています。

APT44（Sandworm、FROZENBARENTS）

複数の政府がロシア軍参謀本部情報総局（GRU）内の 74455 部隊によるものとする APT44 は、暗号化メッセージ アプリケーションの Telegram と Signal から情報を抜き取ろうとしました。これは、ウクライナでの作戦中に入手したデバイスに物理的にアクセスして行われた可能性が高くなっています。この活動は少なくとも 2023 年から続いていますが、GTIG はこの試みを継続して確認しています。GTIG は、APT44 が WAVESIGN を利用していることも確認しています。WAVESIGN は、Signal Desktop からデータを復号して流出させる Windows バッチ スクリプトです。複数の政府機関が、APT44 による INFAMOUSCHISEL の使用も報告しています。INFAMOUSCHISEL は、Android デバイスからシステム デバイス情報、商用アプリ情報、ウクライナ軍用アプリの情報などを収集するように設計されたマルウェアです。

TEMP.Vermin

ウクライナのコンピュータ緊急対応チーム（CERT-UA）が、ルハンスク人民共和国（自称）のセキュリティ機関と関連付けているエスピオナージ アクターである TEMP.Vermin は、ドローンの製造と開発、対ドローン防御システム、ビデオ監視セキュリティ システムをテーマにしたおとりコンテンツを使用して、VERMONSTER、SPECTRUM（Spectr として公表）、FIRMACHAGENT などのマルウェアをデプロイしました。TEMP.Vermin が利用するインフラストラクチャには、Telegram を装ったドメインが含まれており、高度なドローン技術に特化したインドの航空宇宙企業を装った可能性があるドメインなど、航空宇宙に関する幅広いテーマが関わっています。

UNC5125

UNC5125 は、最前線のドローン部隊に標的を絞ったキャンペーンを実施しています。その収集活動として、Google フォームでホストされたアンケートを使用して、ドローン操縦士の候補者に対して偵察を行った事例がありました。このアンケートは、ドローン トレーニング アカデミーである Dronarium からのものと称して、特に軍事部隊の情報、電話番号、好みのモバイル メッセージング アプリなどを含む個人情報を標的から収集するものです。UNC5125 は、これらのメッセージ アプリを介してマルウェア配信活動も実施しています。ある事例では、このクラスタが MESSYFORK バックドア（COOKBOX として公表）をウクライナの UAV オペレーターに配信しました。

また、GTIG は、GREYBATTLE として追跡している Android マルウェアを利用した、UNC5125 と疑われる活動も特定しました。マルウェアはウクライナの軍事 AI 企業を偽装したウェブサイト経由で配信されました。GREYBATTLE は、Hydra バンキング型トロイの木馬をカスタマイズした亜種で、侵害されたデバイスから認証情報とデータを抽出するように設計されています。

注: Google Play プロテクトを有効にしている Android ユーザーは、前述のマルウェアと、このレポート全体で確認している不正アプリのすべての既知バージョンから保護されます。

UNC5792

GTIG は、少なくとも 2024 年以降、このロシアのエスピオナージ クラスタが安全なメッセージ アプリを悪用し、主にウクライナの軍事機関や政府機関を標的としていることを確認しています。また、モルドバ、ジョージア、フランス、米国の個人や組織も標的となっています。特に、UNC5792 はデバイスリンク機能を通じて Signal アカウントを侵害しています。具体的には、改ざんされた「グループ招待」ページを標的に送信して不正な URL にリダイレクトし、被害組織の Signal アカウントにアクター管理のデバイスをリンクさせます。これにより、脅威アクターが被害組織のメッセージをリアルタイムで確認できるようになります。また、このクラスタは、ウクライナの防衛関連の製造企業や技術企業を装った WhatsApp のフィッシング ページやその他のドメインも利用しています。

UNC4221

少なくとも 2022 年 3 月から活動しているロシアの別のエスピオナージ アクターと疑われる UNC4221 は、UNC5792 と同様の手法でウクライナ軍関係者が使用する安全なメッセージ アプリを標的にしています。たとえば、偽の Signal グループへの招待を利用して、アクター管理の Signal インスタンスにアカウントをリンクするよう誘導するウェブサイトにユーザーをリダイレクトしていました。UNC4221 は、対象デバイスから位置情報データを収集することを目的とした WhatsApp フィッシング ページも利用しています。

UNC4221 は、ウクライナ軍が使用するモバイルアプリを複数回標的にしています。たとえば、ウクライナ軍が砲兵誘導などのさまざまな戦闘機能に使用する戦術的戦場アプリである Kropyva を装った Signal フィッシング キットを利用しています。UNC4221 が使用した他の Signal フィッシング ドメインは、ウクライナ軍が使用する UAV のストリーミング サービスを装っていました。このクラスタは、Android マルウェア STALECOOKIE も利用していました。このマルウェアは、ウクライナ軍が状況認識と戦場管理に使用するプラットフォーム Delta 向けのアプリを装い、ブラウザの Cookie を盗むように設計されていました。

UNC4221 は、Android デバイスと Windows デバイスの両方を標的とするマルウェア配信活動も行っています。ある事例では、アクターは「ClickFix」というソーシャル エンジニアリング手法を利用して、ウクライナの防衛関連メーカーに言及した指示を通じて、標的が不正な PowerShell コマンドをコピー、実行するよう誘導しました。これは、おそらく TINYWHALE ダウンローダを配信しようとしたものと思われます。TINYWHALE は、ウクライナの軍事機関と思われる組織に対するリモート管理ソフトウェア MESHAGENT のダウンロードと実行につながりました。

UNC5976

2025 年 1 月より、ロシアのエスピオナージ クラスタと疑われる UNC5976 が、不正な RDP 接続ファイルを配信するフィッシング キャンペーンを実施しました。これらのファイルは、ウクライナの通信事業者を装う、アクター管理のドメインと通信するように構成されていました。UNC5976 が使用した可能性のあるその他のインフラストラクチャには、英国、米国、ドイツ、フランス、スウェーデン、ノルウェー、ウクライナ、トルコ、韓国に本社を置く防衛関連請負業者を偽装した数百のドメインが含まれていました。

UNC5976 のより広範なフィッシング活動には、ORLAN-15 UAV システムの運用ドキュメントなど、ドローンをテーマにしたおとりコンテンツの使用も含まれていました。これは、おそらくウェブメールの認証情報を標的とする認証情報の収集活動であると考えられます。

UNC6096

2025 年 2 月、GTIG はロシアのエスピオナージ クラスタと疑われる UNC6096 が、WhatsApp Messenger を介してマルウェア配信活動を実施していることを特定しました。この活動では、戦場管理プラットフォーム Delta に関連するテーマが使用されていました。このクラスタは、Windows ユーザーを標的にするために、二次ペイロードのダウンロードにつながる不正な LNK ファイルを含むアーカイブ ファイルを配信しました。Android デバイスは、GTIG が GALLGRAB として追跡しているマルウェアを介して標的にされました。このマルウェアは、一般公開されている「Android Gallery Stealer」の改変版です。GALLGRAB は、ローカルに保存されたファイル、連絡先情報、そして特殊な戦場アプリから暗号化されたユーザーデータなどのデータを収集します。

UNC5114

2023 年 10 月、ロシアのエスピオナージ クラスタと疑われる UNC5114 は、一般公開されている Android マルウェア CraxsRAT の亜種を、Kropyva アプリのアップデートを装って配信しました。これには、公式のインストール手順を模倣したおとりドキュメントが添付されていました。

軍事用ドローンを標的とするハクティビスト

親ロシア派ハクティビストには、ウクライナが戦場でドローンを使用していることに着目した活動も一部あります。これは、戦闘においてドローンが重要な役割を果たしていること、また親ロシア派ハクティビスト グループが戦地での出来事に影響力を持っていると主張しようとしていることの反映だと考えられます。たとえば、2025 年後半には、親ロシア派のハクティビスト集団 KillNet が、この領域で多くの脅威活動を行いました。6 月に再生を発表した後、同グループが最初に主張した脅威活動は、ウクライナが領空内のドローン攻撃を監視できないようにしたとされる攻撃でした。この領域の活動は 1 年を通して続き、12 月には、侵害されたデータに基づいてウクライナのドローン製造施設などの主要インフラストラクチャをマッピングした多機能プラットフォームが作成されたと発表されました。次のセクションでは、防衛部門の従業員を標的にした親ロシア派ハクティビストによる活動について詳しく説明します。

2. 従業員が標的に: 防衛部門の人員と人事プロセスを標的とする不正行為

2025 年を通して、さまざまな動機を持つ攻撃者が、DIB 内を含め「人間のレイヤ」を標的とし続けています。脅威アクターは、プロフェッショナル向けネットワーキング プラットフォーム、採用プロセス、個人間のコミュニケーションを利用して境界セキュリティ管理を回避し、内部へのアクセスや個人用デバイスの侵害を試みます。このような活動の多くは、従来のセキュリティ検出の可視性の範囲外で行われる可能性があるため、企業セキュリティ チームにとって課題となります。

北朝鮮のインサイダー脅威と収益創出

少なくとも 2019 年以降、朝鮮民主主義人民共和国（北朝鮮）からの脅威は、従来のネットワーク侵入に加えて、「IT 労働者（IT Worker、略: ITW）」を介した内部への侵入を取り入れるように進化し始めました。エスピオナージと政権の収益創出の両方の必要性に後押しされたこの展開は、2025 年を通して継続され、最近の活動では一般に公開されている新しいツールが取り入れられています。GTIG は、公表されている以外にも、IT 労働者が防衛関連組織の職に応募した証拠を確認しています。

• 2025 年 6 月、米国司法省は、ラップトップ ファームの疑いがあるとして 16 州の 29 か所を捜索し、米国の仲介者 1 名を逮捕、8 名の国際的な仲介者を起訴した妨害作戦について発表しました。起訴状によると、被告は Fortune 500 企業を含む 100 社以上の米国企業でリモートワークの職を得ることに成功していました。ある事例では、IT 労働者が AI 技術を開発するカリフォルニア州の防衛関連請負業者から機密データを盗んだと報告されています。

• 2025 年には、メリーランド州在住の Minh Phuong Ngoc Vong が、北朝鮮の ITW スキームを促進した役割で 15 か月の禁固刑を言い渡されました。政府文書によると、Vong は北朝鮮の IT 労働者と疑われる人物と連携して、バージニア州に拠点を置く企業に採用され、米国政府機関の防衛プログラムに関連する政府契約のソフトウェア開発業務をリモートで行っていました。北朝鮮の IT 労働者とみられる人物は、Vong の認証情報を使用してログインし、Vong として作業を行いました。その後 Vong が作業の報酬を受け取り、その資金の一部を海外の IT 労働者に送金しました。

求人キャンペーンの産業化

求人関連のキャンペーンは、サイバー脅威アクターの間で重要かつ持続的な活動のトレンドとなっています。アクターは、雇用をテーマにしたソーシャル エンジニアリングを、エスピオナージと金銭的利益の両方にとって効果の高いベクトルとして利用しています。これらの活動は、オンラインでの仕事探し、応募、面接のプロセスに内在する信頼を悪用し、不正なコンテンツを求人情報、内定通知、採用資料、履歴書作成アプリと偽装して、価値の高い人材をだましてマルウェアをデプロイさせたり、認証情報を提供させたりします。

防衛部門の従業員を標的とする北朝鮮のサイバー作戦

北朝鮮のサイバー エスピオナージ活動は、雇用をテーマにしたソーシャル エンジニアリングを使用して、防衛分野の技術と人員を標的としています。GTIG は、APT45、APT43、UNC2970 が実施したキャンペーンが、防衛産業内の組織に属する個人を標的としていることを直接確認しています。

• GTIG が特定した APT45 と疑われる活動は、SMALLTIGER マルウェアを利用して韓国の防衛、半導体、自動車製造関連の組織を標的にしたと報告されています。過去の活動に基づき、この活動の少なくとも一部は、北朝鮮政権が対象分野における自国の研究開発のために知的財産を取得する目的で行われていると推測されます。韓国国家情報院（NIS）も、北朝鮮が武器プログラムで使用する独自の半導体を製造する目的で知的財産を盗もうとしていると報告しています。

• GTIG は、認証情報の収集ページや、THINWAVE バックドアのデプロイに使用される求人関連のおとりコンテンツなど、ドイツと米国の防衛関連機関を模倣した APT43 と疑われるインフラストラクチャを特定しました。関連するインフラストラクチャは、APT43 が使用するバックドアである HANGMAN.V2 と、APT43 と疑われるクラスタでも使用されていました。

• UNC2970 は、キャンペーンで一貫して防衛部門を標的とし、企業のリクルーターを装うことに重点を置いています。このクラスタは、Gemini を使用してオープンソース インテリジェンス（OSINT）を統合し、価値の高い標的のプロファイリングを行って、キャンペーンの計画と偵察をサポートしています。UNC2970 の標的プロファイリングには、主要なサイバーセキュリティ企業や防衛企業に関する情報の検索、特定の技術職の職務と給与情報のマッピングが含まれていました。この偵察活動は、標的に合わせてカスタマイズされた、本物と見紛うような巧妙に作り込まれたフィッシング ペルソナを作成し、初期侵害の潜在的な標的を特定するために必要な情報を収集するために使用されています。

イランの脅威アクターが採用をテーマにしたキャンペーンで航空宇宙・防衛部門の従業員を標的に

GTIG は、イランの国家支援型サイバー アクターが、航空宇宙・防衛部門を標的とした活動において、一貫して雇用機会を利用し、サードパーティとの信頼できる関係を悪用していることを確認しています。2022 年以降、UNC1549 や UNC6446 などのグループが、偽の求人ポータル、偽の内定通知、不正な履歴書作成アプリを、防衛企業（航空、宇宙、UAV 技術を専門とする企業も含む）に対して使用し、ユーザーや従業員をだましてマルウェアを実行させたり、正当な雇用機会を装って認証情報を引き出したりしています。

• GTIG は、UNC1549 のインフラストラクチャでホストされている偽の求人情報、ポータル、アンケートの誘い文句を特定しました。これらは、ドローン製造企業を含む航空宇宙、テクノロジー、サーモグラフィーの企業を装っており、主要な防衛関連請負業者に興味のある人材を標的にしている可能性があります。標的を絞り込む意図があったことを示唆している可能性が高い事例として、UNC1549 はあるキャンペーンで、アジアのドローン関連会議のドメインを偽装していました。

• UNC1549 は、サードパーティのサプライヤーとの信頼された接続を悪用して、航空宇宙・防衛部門の組織への初期アクセスも獲得しています。このグループは、侵害されたサードパーティのアカウントを利用して正規のアクセス経路を悪用し、サービス プロバイダからその顧客にピボットすることがよくあります。UNC1549 は、アクセスを獲得すると、権限昇格に重点を置き、管理者の認証情報を盗むために正規のプロセスを模倣した不正なメールで IT スタッフを標的にしたり、セキュリティが低いサードパーティのサプライヤーを悪用して、Citrix や VMware などの正規のリモート アクセス サービスを介して主要な標的のインフラストラクチャを侵害したりします。侵害後の活動には、CRASHPAD などのカスタムツールを使用した認証情報の窃取や、アクティブなユーザー セッションにアクセスするための RDP セッション ハイジャックなどが含まれます。

2022 年以降、イラン系脅威アクター UNC6446 が、履歴書作成ツールと性格診断テスト アプリケーションを使用して、主に米国と中東の航空宇宙・防衛業界の標的にカスタム マルウェアを配信しています。これらのアプリケーションは、ユーザー インターフェースを表示している間、バックグラウンドでマルウェアを実行し、初期のシステム偵察データを盗み出します。ユーザー インターフェースには、英国に拠点を置く多国籍の航空宇宙・防衛関連企業の従業員向けに設計されたと思われるものもあります。

中国系アクターが防衛関連請負業者の従業員の個人用メールを標的に

中国系脅威アクターである APT5 は、2024 年半ばから年末にかけてと 2025 年 5 月に、大手の航空宇宙・防衛関連請負業者の現従業員と元従業員を対象に 2 つの別々のキャンペーンを実施しました。1 つの企業では従業員が仕事用メールアドレスでメールを受信しましたが、どちらのキャンペーンでも、アクターは従業員の個人用メールアドレスにスピアフィッシングを送信しました。誘い文句は、標的の職業、地理的位置、個人的な興味に合わせて細心の注意を払って作成されていました。アクターが利用した専門分野、業界、トレーニングに関する誘い文句には、以下のようなものがあります。

• CANSEC（カナダ国防セキュリティ産業協会）、MilCIS（軍事通信情報システム）、SHRM（米国人材マネジメント協会）などの業界イベントへの招待。

•  赤十字のトレーニング コースの紹介。

• 内定通知を装ったフィッシング メール。

アクターはさらに、標的の地域や活動に関連する、非常に具体的で個人的な誘い文句も利用しました。

• 請負業者の本社近くの地元の高校からの「コミュニティ サービス確認フォーム」を参照するメール。

• 大学のマイナーリーグ野球チームの「同窓会チケット」を装ったフィッシング メールで、大学の卒業生である従業員を標的とする。

• ボーイスカウトのキャンプや隊のリーダーシップに対する「公開書簡」を装ったメールで、ボランティアや保護者であることがわかっている従業員を標的とする。

• 従業員の居住州の 2024 年の選挙サイクルを利用した偽のガイドと登録情報。

人員を標的にするロシアのハクティビスト

晒し行為は依然として親ロシア派ハクティビストの脅威活動の要であり、ウクライナ軍やセキュリティ サービス内の個人だけでなく、他の同盟国も標的にしています。特定のユニットや組織のメンバーを特定するために晒し行為を活動の中心に据えているグループもあれば、より多様な活動を補完するために晒し行為を使用しているグループもあります。

たとえば、2025 年には、Heaven of the Slavs（ロシア語で НЕБО СЛАВЯН）がウクライナの防衛関連請負業者と軍関係者の個人情報を特定したと主張しました。Beregini はウクライナの防衛関連請負業者に勤める個人を特定したと主張しました。その中には、Beregini がウクライナの海軍ドローン メーカーに勤めると主張する個人も含まれました。また、PalachPro はウクライナの外国人戦闘員を特定したと主張し、この事例とは別にウクライナ兵士のデバイスを侵害したとも主張しました。防衛部門に対するハクティビストの活動については、このレポートの最後のセクションで詳しく説明します。

3. 中国系のサイバー エスピオナージ アクターが継続的に注力している分野

サイバー活動がエスピオナージに使用されるようになって以来、防衛産業基盤は中国系脅威アクターにとって重要な標的となっています。初期の頃に、中国軍の APT1 グループによるものと確認された事例の一つに、2007 年に防衛産業分野の企業で発生した侵害があります。APT40 などのアクターによる過去のキャンペーンは、海運関連技術など防衛部門のサブセクターに特化していたこともありますが、一般的に中国系グループが防衛関連で標的とする領域は、あらゆる分野とサプライ チェーンのレイヤに及んでいます。中国のサイバー エスピオナージ グループは、防衛システムや請負業者に重点を置くとともに、過去数年にわたって着実に手口を改善しており、この部門へのリスクは高まっています。

GTIG は過去 2 年間に、他のどの国家支援型アクターよりも多く、中国系のサイバー エスピオナージ ミッションが航空宇宙・防衛産業を直接標的にしていることを確認しています。中国系エスピオナージ アクターは、その活動に幅広い戦術を使用していますが、多くの活動で特徴的なのは、エッジデバイスを悪用して初期アクセスを獲得していることです。GTIG は、中国系脅威グループが、防衛産業の標的に対する偵察に ORB ネットワークを利用していることも確認しています。これにより、検出とアトリビューションが複雑化しています。

直接的な観測とオープンソースの調査の両面から、GTIG は、中国のサイバー エスピオナージ グループが 2020 年以降、10 社の異なるベンダーのエッジデバイスにおいて 24 件以上のゼロデイ脆弱性を悪用したと高い確信を持って評価しています。エッジデバイスとは、VPN、ルーター、スイッチ、セキュリティ アプライアンスなど、一般にネットワークのエッジに配置され、EDR モニタリングに対応していないことが多いデバイスのことです。エッジデバイスのゼロデイを悪用することに重点が置かれているのは、検出される可能性が低く、侵害が成功する確率が高いという戦術上の利点を活用しようとする意図的な戦略を反映していると考えられます。

脆弱性の公開後すぐに複数の脅威グループに悪用が広がることは確認されていますが、多くの場合、UNC4841、UNC3886、UNC5221 など、エッジデバイスのゼロデイ脆弱性を悪用していることが最初に確認される中国のサイバー エスピオナージ活動セットは、標的とする環境への長期的なアクセスを維持するために、活動を難読化する広範な取り組みを示しています。特に近年、UNC3886 と UNC5221 の活動が、他の業界に加えて防衛部門に直接的な影響を与えています。

• UNC3886 は、GTIG が近年確認した中国系脅威グループの中で、特に能力が高く、活動が活発なグループの一つです。UNC3886 は複数の部門を標的としていますが、2022 年の初期の活動では、航空宇宙・防衛機関に特に重点を置いていました。UNC3886 は、DIB の標的に対する活動で 17 種類の異なるマルウェア ファミリーを使用していることが確認されています。UNC3886 のキャンペーンは、航空宇宙・防衛分野の標的以外にも、米国とアジアの通信分野とテクノロジー分野に影響を与えていることが確認されています。

• UNC5221 は、中国系と疑われる高度なサイバー エスピオナージ アクターであり、エッジ インフラストラクチャを悪用して価値の高い戦略的標的に侵入することに重点を置いているのが特徴です。このアクターは、VPN アプライアンスやファイアウォールなどの境界デバイスを侵害して従来のエンドポイント検出を回避してから、永続的なアクセスを確立して長期的にインテリジェンス収集を行うという活動の好みを明確に示しています。観測された標的プロファイルは非常に選択的で、マネージド サービス プロバイダ（MSP）、法律事務所、グローバルなテクノロジー サプライ チェーンの中央ノードなど、インテリジェンス収集の「戦力増強」として機能する組織を優先しています。UNC5221 の実施が疑われる、2025 年に明らかになった BRICKSTORM マルウェア キャンペーンは、平均滞留時間が 393 日と長く、そのステルス性が注目されました。影響を受けた組織は複数の分野にわたっていましたが、その中に航空宇宙・防衛部門も含まれていました。

GTIG は、この 2 グループ以外にも、近年、防衛部門に影響を与えている中国系グループを分析しています。

UNC3236 が米軍と物流ポータルを標的にしていることを確認

2024 年、GTIG は UNC3236（Volt Typhoon に関連）による、北米の軍事と防衛関連の請負業者の公開ホスト型ログイン ポータルと、北米のインフラストラクチャに関連する米国とカナダの政府ドメインに対する偵察活動を観測しました。この活動では、ARCMAZE 難読化ネットワークを利用して、その発生元を難読化していました。Netflow 分析を行うと、ARCMAZE ネットワーク外の SOHO ルーターとの通信が明らかになりました。これは、追跡を妨げるために追加のホップポイントがあることを示唆しています。標的となったシステムには、米軍のインフラストラクチャ プロジェクトに関与する防衛関連請負業者が使用する Drupal ウェブログイン ポータルが含まれていました。

UNC6508 の検索キーワードが示す防衛関連請負業者と軍事プラットフォームへの関心

2023 年後半、中国系脅威クラスタ UNC6508 が、最初に REDCap を悪用してから INFINITERED というカスタム マルウェアを利用した多段階攻撃を通じて、米国を拠点とする研究機関を標的としました。このマルウェアは、正規の REDCap システム ファイルをトロイの木馬化したバージョンに埋め込まれ、再帰型ドロッパーとして機能します。アプリケーションのソフトウェア アップグレード プロセスを傍受して、次のバージョンのコアファイルに不正なコードを挿入することで、永続的なリモート アクセスと認証情報の窃取を可能にします。

アクターは REDCap システムへのアクセスを利用して、被害者のメール プラットフォームのフィルタリング ルールにアクセスするための認証情報を収集し、米国の国家安全保障と外交政策に関連する情報を収集しました（図 10）。GTIG は、アクターが一定のインテリジェンス収集の要件を満たそうとした可能性が高いと、低い確信度で評価しています。ただし、収集活動の性質と意図された対象は不明です。

アクターは、2025 年 8 月には INFINITERED を介して取得した認証情報を利用し、侵害された正規の管理者認証情報で機関の環境にアクセスしていました。その後、テナントのコンプライアンス ルールを悪用して、キーワードと受信者の組み合わせに基づいてメッセージを動的に再ルーティングしました。アクターはメールルールを変更し、150 個の正規表現で定義された検索キーワードまたはメールアドレスのいずれかがメールの本文または件名にあった場合、アクターが管理するメールアドレスを BCC に含めるようにしました。この方法で、米国の国家安全保障、軍事装備や軍事作戦、外交政策、医療研究などに関連するキーワードを 1 つ以上含むメールが転送され、データの引き出しが容易に行われました。キーワードの約 3 分の 1 は軍事システムまたは防衛関連請負業者を参照しており、そのかなりの部分が UAS または対 UAS システムに関連していました。

4. 製造業のサプライ チェーンのハッキング、漏洩、妨害

恐喝型攻撃は、その活動の蔓延、ビジネス運営を妨害する可能性、個人情報（PII）、知的財産、法的文書などの機密データの公開といった理由により、世界的に最も影響力の大きいサイバー犯罪の脅威であり続けています。同様に、地政学的動機やイデオロギー的動機を持つハクティビスト グループが実施するハック アンド リーク作戦も、機密データの公開につながる可能性があります。こうしたデータ侵害は、防衛関連請負業者にとって知的財産流出のリスク、従業員にとってデータアクセスに PII が使われるリスク、そして防衛関連請負業者が関与する防衛機関にとってもリスクとなる可能性があります。頻度は低いものの、金銭的動機とイデオロギー的動機を併せ持つ脅威アクターは、オペレーショナル テクノロジー（OT）システムへのランサムウェアのデプロイや分散型サービス拒否（DDoS）攻撃など、重大な妨害活動を行うことがあります。

サイバー犯罪行為が防衛産業基盤と、より広範な製造業や産業のサプライ チェーンに影響

2025 年にデータ漏洩サイト（DLS）に掲載された被害者のうち、航空宇宙・防衛に特化した組織はわずか 1% 程度ですが、DLS の掲載件数で常に最大の割合を占めている製造企業は、その多くが直接的または間接的に防衛関連の契約をサポートしています（図 11）。この広範な製造部門には、防衛目的にも利用可能なデュアルユース部品を提供する企業が含まれる可能性があります。たとえば、2025 年に、軍用車両も製造する英国の自動車メーカーがランサムウェアの被害を受けたときは、数週間にわたって生産が中断し、他に 5,000 を超える組織が影響を受けたと報道されました。この件は、こうした侵入が IT ネットワークに限定される場合であっても、戦時環境下で防衛部品を増産する能力を含め、国の防衛能力を支えるより広範な産業サプライ チェーンに対するサイバーリスクが影響を受ける可能性があることを示しています。

脅威アクターは、航空宇宙・防衛部門の組織への不正アクセスや、組織から盗んだデータを定期的に共有または宣伝しています。たとえば、「miyako」というペルソナは、同じユーザー名とセッション ID を使用して複数のアンダーグラウンド フォーラムで活動しており、長年にわたって名前を伏せた複数の防衛関連請負業者へのアクセスを宣伝しています（図 11）。防衛関連請負業者は通常、強固なセキュリティ ポスチャーを維持しているため、多くのサイバー犯罪者にとって魅力的な標的ではないと考えられますが、金銭目的のアクターのごく一部は、名声を得たいという欲求やイデオロギー的な動機など、二重の動機から不相応にこの業界を標的にする場合があります。たとえば、BreachForums のアクター「USDoD」は、著名な防衛関連組織から盗んだと主張するデータへのアクセスを定期的に共有または宣伝していました。USDoD は、2023 年の一風変わったインタビューで、脅威は目くらましのためであり、実際にはあるコンサルティング会社、NATO、CEPOL、Europol、Interpol を標的にしていたと主張しました。USDoD はさらに、動機は個人的な復讐のためであり、政治的なものではないと述べています。2024 年 10 月、ブラジル当局は USDoD 本人であるという容疑で 1 人の人物を逮捕しました。

防衛産業基盤を標的とするハクティビストの活動

親ロシア派と親イラン派のハクティビズム活動は、単なる迷惑行為レベルの攻撃にとどまらず、データ漏洩や業務の妨害など、影響力の大きい活動に及ぶこともあります。金銭目的の活動とは異なり、これらのキャンペーンは多くの場合、「ハック アンド リーク」戦術を通じて、機密性の高い軍事計画や個人の人事データを公開することを優先します。目的は、国民の信頼を損ない、防衛関係者を脅迫し、現地での地政学的な展開に影響を与えることです。強い地政学的な動機を持つハクティビストの活動は、国家の利益を促進するだけでなく、国家支援型アクターによる脅威活動のアトリビューション（攻撃の帰属特定）を複雑にする可能性もあります。国家支援型アクターは、自らの目的のためにハクティビストの戦術を利用することが知られています。

親ロシア派のハクティビズム活動

親ロシア派のハクティビスト アクターは、脅威活動の相当な部分で、ウクライナや西側諸国の軍隊や防衛部門に関連する組織を標的にしています。以前に報告したように、GTIG は、2022 年 2 月にロシアがウクライナへの全面侵攻を開始したことを受けて、親ロシア派のハクティビスト エコシステム内で活動が復活し、激化していることを確認しました。その後、追跡した親ロシア派ハクティビストの活動の大部分も、同様に戦争におけるロシアの利益を促進することを目的としているように見えました。他の著名な組織を標的とする攻撃と同様に、この活動の少なくとも一部は、メディアの注目を集めることを主な目的としているようでした。しかし、2025 年に観測された関連する脅威活動をレビューしたところ、軍事部門や防衛部門を標的とするアクターは、影響力を示すシナリオを広める、主張するアクセスを収益化する、現地での展開に影響を与えるなど、より多様な目的を持っていることも示唆されました。昨年観測された攻撃や標的の傾向には、以下のようなものがあります。

• DDoS 攻撃: 複数の親ロシア派ハクティビスト グループが、防衛に関与する政府機関や民間組織を標的とする分散型サービス拒否（DDoS）攻撃を主張しています。これには、DDoS 攻撃を多用してさまざまな標的を攻撃している NoName057(16) グループが主張する複数の攻撃が含まれます。これは多くの場合、迷惑行為レベルの活動である可能性がありますが、最も基本的なレベルで、ウクライナを支援する国の組織を標的とすることを広く指向するハクティビストの脅威活動の一環として、防衛部門も対象となっていることを示しています。

• ネットワーク侵入: 親ロシア派グループは、限定的な事例ではあるものの、防衛部門の民間組織を標的とした侵入活動を主張しました。多くの場合、これはハック アンド リーク活動を支援するものでした。たとえば、2025 年 11 月、PalachPro グループはイタリアの複数の防衛関連企業を標的とし、ネットワークから機密データを窃取したと主張しました。少なくとも 1 件の事例では、PalachPro はこのデータを販売すると主張しました。同じ月、Infrastructure Destruction Squad グループが、米国の主要な武器メーカーに攻撃を仕掛けたと主張しましたが、これは失敗に終わっています。

• ドキュメントの漏洩: ウクライナ軍、ウクライナ政府、ウクライナを支援する民間組織を標的とする継続的なハック アンド リーク作戦が主張または示唆されています。この活動に関与している親ロシア派のグループとして特に注目すべきは、Beregini と JokerDNR（別名 JokerDPR）の 2 つです。どちらも、ウクライナ軍の軍政、ウクライナと支援国との連携、ウクライナに供給された他国の兵器システムに関連すると主張する文書を定期的に拡散しています。拡散されたすべてのドキュメントの潜在的な有効性を GTIG が検証することはできませんが、少なくとも一部の事例では、ドキュメントの機密性が誇張されているようです。

• Beregini と JokerDNR は、この活動を利用して反ウクライナの言説を広めています。ウクライナ政府に対する国内の信頼低下を目的として、ウクライナ政府の汚職やスキャンダル、ウクライナへの劣悪な装備の供給などを主張しています。

親イラン派のハクティビズム活動

2023 年 10 月にイスラエルとハマスの紛争が始まって以来、防衛部門を標的とする親イラン派ハクティビストによる脅威活動が大幅に激化しています。これらの活動は、迷惑行為レベルの妨害型攻撃から、高度な「ハック アンド リーク」キャンペーン、サプライ チェーンの侵害、軍関係者を標的とする積極的な心理戦へと移行しているのが特徴です。Handala Hack、Cyber Toufan、Cyber Isnaad Front などの脅威アクターは、イスラエルの防衛産業基盤を優先し、製造企業、物流プロバイダ、テクノロジー企業を侵害して、機密性の高い図面、人事データ、軍事契約を公開しています。これらのキャンペーンの目的は、イスラエルの国家安全保障機関を妨害するだけでなく弱体化させることであり、そのために軍事能力を公開し、「ドクシング（晒し行為）」によって防衛部門の従業員を脅し、セキュリティ体制に対する国民の信頼を失墜させています。

• UNC5203 に関連する脅威活動を公表していることを GTIG が確認した親イラン派ペルソナ Handala Hack は、イスラエル政府と、それを支援する軍産複合体の両方を一貫して標的にしています。このペルソナによる脅威活動は、主にハック アンド リーク活動で構成されていましたが、最近では、ドクシングや、恐怖、不安、疑念（FUD）を煽るように設計された戦術を取り入れることが増えています。

• ハマス主導の武装勢力がイスラエルを攻撃した「アルアクサ洪水」から 2 周年を迎えた日、Handala は「Handala RedWanted」を立ち上げました。これは、イスラエル軍、諜報機関、国家安全保障機関のメンバー、そして同グループがイスラエルの軍産複合体を構成すると主張する個人と組織を標的とした、協調的なドクシング / 脅迫キャンペーンを支援するアクター管理のウェブサイトです。

• RedWanted の発表後、このペルソナは「Handala Alert」のリリースに関連して、活動の拡大を最近示唆しています。長らくイスラエルを優先してきたグループの国外の標的選定に関する戦略が拡大する可能性という点で重要なのは、Handala による「他国の反体制活動の支援」という新たな取り組みです。

• 親イラン派ペルソナである Cyber Toufan（UNC5318）や الجبهة الإسناد السيبرانية（Cyber Isnaad Front）によるとされるキャンペーンが継続的に行われていることも、より広範なエコシステムが長年にわたって防衛部門を優先してきたことを示しています。

• Cyber Toufan は、Telegram に新たに開設したリーク チャンネル（ILDefenseLeaks）を利用して、イスラエルの軍需産業部門を標的とする数多くの活動を公表しています。そのほとんどは、イスラエルの防衛関連請負業者に関連するネットワーク インフラストラクチャの侵害を発端とするサプライ チェーン侵害の結果であると主張しています。Cyber Toufan によると、この請負業者へのアクセスにより、少なくともさらに 17 社のイスラエルの防衛関連請負業者が侵害されました。

• これらの活動は、特にイスラエルを標的にすることを優先していますが、主張されている活動は、限定的ではあるものの、他国にも影響を与えています。たとえば、Cyber Isnaad Front が公表した最近の脅威活動では、前述のイスラエルの防衛関連請負業者の侵害疑惑に関連して、オーストラリア国防軍がイスラエルから Spike NLOS 対戦車ミサイルを購入する計画が漏洩されました。

まとめ

防衛への投資を増やし、新しい技術を開発するという世界的な取り組みを考えると、防衛部門のセキュリティが国家安全保障にとってこれまで以上に重要になっています。国家の目標を支援するアクターは、新たに生まれる防衛技術の成果、その機能、それを購入する最終顧客、そしてこれらのシステムに対抗する方法に関心を持っています。金銭目的のアクターは、金銭的利益を求めて標的とする他の多くの業種と同様に、この部門と、より広範な製造基盤に対して恐喝を実行します。

具体的なリスクは地理的範囲やサブセクターの専門性によって異なりますが、より広範な傾向は明らかです。防衛産業基盤は、複数のベクトルから常に攻撃を受けている状態にあります。ウクライナの防衛関連請負業者に対するキャンペーン、防衛担当者に対する脅威やその悪用、中国系アクターによる侵入の継続的な増加、製造基盤のハッキング、漏洩、妨害が、現在のこの業界に対する主な脅威の一例です。組織が競争優位性を維持するためには、事後対応型の姿勢から脱却する必要があります。こうしたインテリジェンスの傾向をプロアクティブな脅威ハンティングと復元力のあるアーキテクチャに統合することで、防衛部門は、国を守るシステムが現地に到達する前に侵害されないようにすることができます。

- Google Threat Intelligence Group