今日のグローバルなサイバーセキュリティ環境は、多様なハッキンググループによる継続的な脅威に直面しています。単一の脆弱性や一過性の攻撃ではなく、長期間にわたりインフラへ密かに侵入し、情報を収集する APT キャンペーンが、ますます一般化しています。特にこうしたキャンペーンは、太平洋地域のインフラを主要な標的とし、時間の経過とともにより構造的かつ組織的な様相を強めています。これは、地域の安全保障や戦略的な情報バランスに直接的な影響を及ぼす要因として無視できません。
本稿では、Criminal IP の攻撃対象領域管理(ASM)データおよび脅威インテリジェンス分析を基に、太平洋地域において観測された RedNovember および APT40 の長期的かつ反復的な活動パターンを分析します。これにより、個別の IoC に基づく断片的な検知にとどまらず、キャンペーン単位での脅威活動を識別・理解するための視点とインサイトを提示することを目的としています。
要点まとめ
主なポイント:
- RedNovemberは、2024年6月から2025年7月にかけて、フィジーを中心に、OWA(Outlook Web Access)、VPN、ファイアウォール/ロードバランサー、リモート管理パネルなどのエッジデバイスを集中的に標的とする高強度キャンペーンを展開しました。
- APT40は、サモア、パプアニューギニア(PNG)、ソロモン諸島、クック諸島など、いわゆる「ブルー・パシフィック」地域全体を対象に、スピアフィッシングと長期的な VPN/リモートアクセス拠点を組み合わせた持続的なキャンペーンを実施しました。
- Criminal IPの観測では、過去に悪性活動の履歴を持つ IP インフラ(Tor の出口ノード、スパム送信元、ブルートフォース攻撃ホストなど)が、C2 あるいは管理ノードとして再利用される傾向が確認されました。併せて、低コストかつ匿名性の高い VPSやダイナミック DNSが広範に活用されている実態も明らかになっています。
- 外部に露出した資産の観点からは、Criminal IP によりスキャン活動、ポートおよびサービスの露出状況、ホスティング関係、証明書発行の推移、偵察パターンを追跡することが可能です。一方で、内部侵害の有無やデータ流出の有無については、フォレンジックログなしに確認することはできません。
分析範囲および方法論:
- データソース:Criminal IP のグローバル ASM データ(インターネットに露出したサービス、バナー情報、証明書、DNS、ASN・ホスティング関連メタデータ)、共有された IoC、公開されている CERT の勧告情報
- 観測対象:インターネットに露出した資産と、既知の IoC インフラとの相互作用(スキャン活動、C2 接続、証明書のタイムライン、サービスバナーなど)
- 分析期間: 主な分析対象期間は2024年6月~2025年7月、インフラ再利用パターンについてはおおむね 2019年頃まで遡って分析
RedNovember の活動観測(フィジーおよび関連地域)
RedNovember のキャンペーン分析の結果、同グループはフィジー地域の政府、金融、交通、メディア関連組織を主要な標的としていたことが確認されました。初期侵入手法は、OWA ポータル、SSL VPN/UTM 機器、ロードバランサーなど、エッジおよびリモートアクセス機器を狙う戦略に集中していました。特徴として、反復的なスキャン活動と継続的な悪用の試行が観測されており、これは地域の中核インフラにおける外部攻撃表面を直接的に狙った行為と解釈されます。
Criminal IP の脅威インフラ分析によれば、RedNovember に関連する IoC の多くは、米国拠点の単一 VPS ASN クラスター内にホスティングされていました。また、同一 ASN またはサブネット内に RDP、SSH、Web 管理パネルなど複数のサービスが混在する形で観測されています。特に、公開 PoC が発表された直後に迅速な悪用を試みる点は、本グループが有する迅速な武器化能力を示す重要な特徴です。
https://www.criminalip.io/ja/asset/search?query=service%3ASSH+AND+country%3AFJ
これらの攻撃は、認証情報の窃取や VPN トークンの漏えいを起点として、内部ネットワークへの水平移動、さらには重要文書や運用データの流出へと被害が拡大する可能性があります。そのため、外部に露出したエッジ機器に対する継続的なモニタリングと迅速なパッチ適用が不可欠です。
APT40 の活動観測(サモア、ソロモン諸島、パプアニューギニア、クック諸島)
RedNovember が短期・集中型の攻撃を展開していたのに対し、APT40 は長期的かつ持続的なサイバー諜報活動を展開していました。同グループは、サモア、ソロモン諸島、パプアニューギニア(PNG)、クック諸島 といった太平洋島嶼国を対象に、スピアフィッシングとリモートアクセス・ポータルの悪用を組み合わせ、長期間にわたる拠点維持を図る戦略を採用していました。
主な標的は、政府機関、法執行機関、海洋・国防分野、電力・通信などの重要インフラです。Criminal IP の分析によれば、太平洋地域の公的 IP アドレス帯を対象とした継続的な偵察および脆弱性探索活動が確認されました。具体的には、Fortinet、Palo Alto、Cisco の VPN、OWA/Exchange ポータル、NAS およびデータベースサービスが主要な標的として観測されています。
APT40 は、低コストの VPSやSoftEther VPN のエンドポイントを C2 またはステージングサーバとして活用し、一般的な Web サーバやSynology NASをインフラ構成要素として利用する傾向を示しました。
https://www.criminalip.io/ja/asset/search?query=product%3AOpenSSH+AND+country%3AWS
サモア、パプアニューギニア、ソロモン諸島では反復的なスキャンおよび悪用の試行が確認され、クック諸島においても、APT40 に関連付けられたインフラから政府・通信ネットワークに対するスキャン活動が検知されました。
これらの観測結果は、APT40 が持続性と地域的な拡張性の双方を備えた脅威アクターであることを示しています。
キャンペーン間の共通点と相違点
共通点
- VPN、ファイアウォール、メールポータル、管理パネルなどのエッジ資産を初期侵入ポイントとして活用
- Tor の出口ノード、スパム/ブルートフォースの履歴を持つ IPなど、長期間にわたり悪性履歴を有する IP の再利用
- 低コストかつ匿名性の高い VPSおよびダイナミック DNSを用いたインフラ構成
相違点
- RedNovember:フィジーを中心に、限定された国を対象とした高強度・集中型の攻撃
- APT40:太平洋全域を対象に、スピアフィッシングと長期的な拠点維持を組み合わせた持続的・広域キャンペーン
キャンペーン・タイムライン
- 2019年~2020年:一部の IP が Tor 出口、スパム、ブルートフォースの履歴により悪性評価を形成
- 2024年初頭:キャンペーン本格化以前に ダイナミック DNS の記録を観測
- 2024年6月~2025年7月:フィジーおよび太平洋島嶼国を対象とした主要なスキャン/悪用活動が集中
- 2025年前半:RDP およびメールインフラの露出増加、新規の自己署名証明書およびWeb メールの展開を確認
すべき異常兆候および運用上の詳細
- Tor 出口ノードから RDP への再利用:既存の悪性評価を持つ IP を再利用することで、検知回避を図る動きが確認されました。
- ダイナミック DNS とレガシードメインの併用:インフラの冗長化と耐障害性を高める目的で、複数の名前解決手段が併用されています。
- RainLoop Web メールの活用:フィッシング、窃取されたアカウントのプロキシ、簡易的な C2 といった用途での利用が観測されました。
- 中央管理ノードの存在:長期間有効な自己署名証明書と SSH を用いた、中央集権的な制御ハブの存在が推定されます。
推奨事項
これらのハッキンググループの活動は、インターネットに露出したエッジおよびリモートアクセスサービスが、依然として APT キャンペーンの主要な侵入ポイントであることを明確に示しています。OWA、メールポータル、SSL VPN、UTM、リモート管理インターフェースは最優先の高リスク資産として分類すべきであり、迅速なパッチ適用、設定の点検、露出の最小化が不可欠です。
また、認証情報の管理とインフラベースの防御が重要となります。露出サービスに紐づくアカウントは定期的に確認・棚卸しを行い、VPN ログの分析や悪性 IP/高リスク ASN の遮断を実施する必要があります。外部に露出した資産を継続的に可視化する ASM 体制は、エッジを起点とする APT 活動を抑止するうえでの中核的な要素です。
結論
Criminal IP の ASM データおよび IoC の相関分析から見ると、RedNovember と APT40 は、太平洋地域において相互補完的な APT 運用モデルを示しています。RedNovember はフィジーを中心にエッジ資産に対する集中的な攻撃を展開した一方、APT40 はブルー・パシフィック全域において長期的なアクセスを維持していました。これら二つのキャンペーンに共通する特徴は、外部からアクセス可能なインフラへの強い依存です。Criminal IP が提供する外部可視性は、スキャン活動、サービスの露出状況、ホスティング関係、証明書のタイムラインといった要素が、キャンペーン運用の基盤となっていることを示しています。このことは、外部攻撃対象領域管理(ASM)が、キャンペーン単位の脅威を検知・優先順位付け・遮断するための出発点であることを、改めて裏付けるものです。
関連事例として、北朝鮮のハッカーグループ「Bluenoroff」、Zoom通話を利用したハッキングの試みに関する記事も併せてご参照ください。
また、下記ボタンよりお問い合わせいただくことで、Criminal IP の攻撃対象領域管理(Attack Surface Management)が、外部に露出した資産の特定および管理にどのように役立つのかを、詳しくご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース : Criminal IP (https://www.criminalip.io/ja)
