Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
攻撃テクニック

イランのAPTは、すでにあなたのハイブリッドネットワーク内部にいるのか?

2025年7月10日
Lucie Cardiet
サイバー脅威リサーチマネージャー
イランのAPTは、すでにあなたのハイブリッドネットワーク内部にいるのか?

最近のイランとイスラエルの緊張激化に伴い、国家に関与するアクターによるID、クラウド、エンタープライズネットワークのサイバー作戦が活発化しています。これらの十分な資金を持つグループは、従来の防御をすり抜けるために、ネットワークへの深い侵入とアイデンティティの悪用を組み合わせています。

彼らは、公開アプリケーションを初期侵入に利用し、フィッシングやパスワードスプレー攻撃で認証情報を収集。その後、RDP、PsExec、リモートアクセスサービスを使って横展開します。永続化の手段としては、スケジュールタスク、DLLサイドローディング、不可視ウィンドウ、プロトコルトンネリングなどを用います。データは静かに準備され、アーカイブされ、目立たない経路で外部に送信されることが多く、従来のアラートでは検知されません。

同時に、Microsoft 365、Azure、Google Workspace などの環境内で、アイデンティティを狙ったキャンペーンも展開しています。OAuth の悪用、多要素認証(MFA)の回避、Outlook・OneDrive・Teams の武器化などを通じてアクセスを維持し、データを抜き取るのです。これらの戦術は、中東および欧米の重要インフラ、政府機関、民間企業、NGO を標的にしており、諜報活動と破壊的攻撃(ワイパー、強制暗号化)を融合させています。

エンドポイントや境界防御だけに依存していると、攻撃チェーン全体を見逃すことになります。クラウドコラボレーション、ハイブリッドインフラ、リモートアクセスを利用しているなら、すでに彼らの標的になっている可能性があります。

攻撃の黒幕は誰か?イランに関連するAPTのプロファイル

長期的なスパイ活動から完全な妨害工作まで、その目的はさまざまですが、各グループはネットワークとアイデンティティの両方のチャネルを活用して、侵入、持続、抽出を行っています。以下は、初期アクセス、ネットワーク TTP、ID/クラウド TTP の概要です。

グループ 初期アクセス ネットワーク戦術 アイデンティティ/クラウド戦術
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) スピアフィッシング 求人情報、ソーシャル・エンジニアリング・キャンペーン、既知の脆弱性を悪用した電子メール。
  • PowerShellやスケジュールされたタスクを経由して悪意のあるコードを実行する。
  • RDP、WMI、盗んだ認証情報を使ってラテラルムーブする。
  • エスカレーションとパーシステンスのためにクレデンシャルをダンプする。
  • 暗号化された、あるいは不明瞭な経路で機密データをアーカイブし、流出させる。
  • 難読化、レジストリキー、暗号化されたトラフィックを使用してステルス性を維持する。
  • スピアフィッシング 求人広告やソーシャル・エンジニアリングを利用して資格情報を取得すること。
  • Office 365とAzureアカウントにアクセスするためのパスワードスプレー。
  • 認証情報を取得したら、商用VPNを経由してアカウントにアクセスする。
  • Azure 専用のツールを使用して、Entra ID (Azure AD) を列挙し、ユーザーとグループのデータを採取します。
  • Microsoft Teams のメッセージ経由で悪意のある ZIP を配布し、Active Directory の情報を抜き取る。
APT34 (別名:Helix Kitten、OilRig、CHRYSENE、COBALT GYPSY) スピアフィッシング 特定の職務に就く個人をターゲットにした電子メールや偽の求人情報。
  • リモートデスクトッププロトコルとVPNトンネリングを使用して移動する。
  • 既知のエクスプロイトによる認証情報のダンプと権限の昇格。
  • DNSトンネリング、FTP、危険な電子メールを通じてデータを流出させる。
  • マスカレード、署名付きバイナリ、ファイアウォール操作による検知回避。
  • スピアフィッシング Exchangeやその他のクラウドアカウントにアクセスするための、電子メールや偽の求人情報。
  • Exchangeのようなクラウドメールの機能を活用し、こっそりとデータを流出させる。
  • データ転送サイズの制限を悪用して検出を回避する。
  • 認証情報を収集し、SaaS 環境間での横移動のために再利用する。
APT35 (別名:Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) フィッシング、クラウドサービスを模倣した偽のログインポータル、侵害されたアカウント。
  • RDPとスケジュールされたタスクによるラテラルムーブの実行。
  • より深いアクセスのために、ブラウザやメモリから認証情報をダンプする。
  • 暗号化されたチャネルとクラウド共有プラットフォームを使用してデータを転送する。
  • ロギングを無効化し、C2トラフィックをWebアクティビティに紛れ込ませることで、セキュリティを回避する。
  • クラウド/SaaSサービスを模倣した偽のログインポータルを通じて、認証情報を狙う。
  • ソーシャル・エンジニアリングと説得力のある偽のサインイン・ページを使用して、MFA保護を回避する。
  • クラウドホスティングされたExchangeやその他のSaaSアプリケーションの脆弱性を利用し、特権アクセスを行う。
  • クラウドアカウントを使用して、関心のあるファイルや電子メールを無言で採取する。
APT42 (別名:Crooked Charms) ソーシャル・エンジニアリングを長期化させ、信頼できる連絡先になりすまして認証情報を得る。
  • 暗号化された HTTPS チャネルを使用して、ステルス性の高いデータ転送を行う。
  • なりすましVPNやマスカレードリモートセッションによるトンネリングアクセス。
  • 発見、キーロギング、データ収集のためのスクリプトの実行。
  • 正規のトラフィックに紛れ込み、警告を発しないようにする。
  • 広範なソーシャルエンジニアリングにより、Microsoft 365や同様のプラットフォームへの持続的なアクセスを獲得。
  • 正規のクライアント・アプリを悪用して、通常のユーザー活動に見せかける。
  • OneDriveのファイルやOutlookの電子メールをダウンロードする。
  • 機密データを抽出するための簡単なスクリプトを導入する。
MuddyWater (別名:STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) 悪意のある添付ファイルやリンクを危険なアカウント経由で送信するフィッシング。
  • PowerShell、VBScript、スケジュールタスクによるスクリプトやmalware 実行。
  • リモートアクセスツールとWMIを使ってラテラルムーブする。
  • メモリ、ブラウザ、キャッシュされたソースからクレデンシャルをダンプする。
  • レジストリキーとDLLのサイドロードを使用した永続性の確立。
  • HTTP ベースの C2 チャネルを介した圧縮データの流出。
  • クラウドアプリの認証情報を盗むために、悪意のある添付ファイルやリンクを使ったフィッシング。
  • 漏洩したアカウントを使って社内にさらにフィッシングメールを送信し、連鎖的な効果を生み出す。
  • クラウドアカウントを制御するために、クレデンシャルリセットプロセスとMFAシステムを狙う。
Rampant Kitten 悪意のあるAndroidアプリやフィッシング認証情報を盗み、デバイスを制御する。
  • なりすましたSharePointドメインにホストされたリモートテンプレートWordドキュメントを通じてペイロードを配信。
  • フォールバックのOneDriveスタイルのエンドポイントを持つHTTPS上のSOAPを介してC2を維持する。
  • Base64エンコードされたアップロードを使用して、Telegramトークン、KeePass保管庫、機密ファイルを流出させる。
  • Telegramのアップデータを置き換え、explorer.exeにペイロードを注入することで持続する。
  • Androidのバックドアやフィッシングサイトを通じて収集を拡大。
  • Android端末で正規のログインページを模倣し、Googleの認証情報をフィッシング。
  • キャプチャした認証情報を使用して、Gmailやその他のGoogleクラウドサービスにログインする。
  • 明らかなmalware 指標を避けながら、ブラウザセッションや内蔵クラウドアプリの機能を介してデータを抽出する。
Agrius (別名DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) フィッシングや脆弱なサーバーを悪用したウェブシェルの展開。
  • 公開アプリや設定ミスを悪用してアクセス権を得る。
  • リモートデスクトップトンネリングによる内部偵察とラテラルムーブの実行。
  • 権限の昇格と永続化のための認証情報のダンプ。
  • 一般的な転送方法を使用してデータをステージングし、流出させる。
  • セキュリティツールを妨害し、検知を逃れるために活動を偽装する。
  • フィッシングやソーシャルエンジニアリングによるアクセス後、社内アカウントから認証情報を抜き取るスクリプトを展開する。
  • クラウドアプリで有効な認証情報と認証されたセッションを使用して、横方向にピボットする。

SOCチームが監視すべき5つのアイデンティティとクラウド技術

イランに関係する脅威アクターは、従来のマルウェアやエクスプロイトにとどまらず、その手口を巧妙に操っています。彼らの攻撃は、IDシステムを悪用し、組織が既に使用している信頼できるツールを巧みに利用することに大きく依存しています。これらの5つの手法は、彼らが検知を回避し、クラウド環境で持続的に活動を続ける上で中心的な役割を果たしています。従来のEDRツールやSIEMツールのみに依存している場合、これらの手法はいずれも 重大な可視性の欠如を招きます。

  1. フィッシングクレデンシャル窃盗
    Office 365やGmailを模倣した偽のログインポータル、パスワードの散布、MFAバイパスのテクニック。
  2. クラウドアカウントの乗っ取り
    盗まれた認証情報を使用して、電子メール、OneDrive、SharePoint、または Azure アプリにアクセスする。
  3. 偵察とラテラルムーブ
    Entra ID(Azure AD)を列挙し、不正なOAuthアプリや永続化のためのサブスクリプションを作成する。
  4. 正規のツールを介したデータ流出
    OneDrive、Outlook、またはウェブベースのAPIを介してデータを移動させ、通常のトラフィックの中に隠れる。
  5. SaaSとクラウドにおけるLiving-Off-the-Land
    Outlookのような組み込みのSaaSクライアントや、AnyDesk/TeamViewerのようなリモートアクセスツールを使ってクラウドアカウントをコントロールする。
TA0001Initial Access TA0002Execution TA0003Persistence TA0004Privilege Escalation TA0005Defense Evasion TA0006Credential Access TA0007Discovery TA0008ラテラルムーブ TA0009Collection TA0011Command & Control TA0010Exfiltration TA0040Impact
T1566.001Spearphishing Attachment T1047Windows Management Instrumentation T1098.005Device Registration T1068Exploitation for Privilege Escalation T1564.004Hidden Window T1110.001Password Spraying T1012Query Registry T1021.001RDP T1560Archive Collected Data T1071.001Web Protocols T1048Alt Protocol Exfiltration T1485Data Destruction
T1566.002Spearphishing Link T1053.005Scheduled Task/Job T1547Boot or Logon Autostart T1055Process Injection T1036.005Masquerading T1555Credentials from Password Stores T1082System Information Discovery T1021.002SMB Admin Shares T1102.001Dead Drop Resolver T1486Data Encrypted for Impact
T1133External Remote Services T1059.001PowerShell T1562.001Disable or Modify Tools T1555.003Credentials from Web Browsers T1069.002Domain Group Discovery
T1190Exploit Public-Facing Application T1572Protocol Tunnelling T1003OS Credential Dumping T1069.003Cloud Group Discovery
T1556.006MFA Request Generation T1482Domain Trust Discovery
T1558.003Kerberoasting

イランのAPTが使用するMITREのテクニック

イランのAPTがクラウドとアイデンティティを狙う理由

イランの脅威グループにとって、クラウドとアイデンティティシステムは、規模、ステルス性、そして戦略的価値を提供します。これらの攻撃者は単に機会を狙っているだけでなく、組織の現在の運用方法にも適応しています。リモートアクセス、フェデレーションアイデンティティ、そしてクラウドファーストのインフラストラクチャは、多くのセキュリティチームにとって可視性が限られている広範な攻撃対象領域を生み出しています。

つまり、クラウド攻撃とID攻撃により、イランのAPTは静かにかつ効果的に活動することができます。彼らはユーザーの行動に溶け込み、従来の防御を回避し、ほとんどの組織が手遅れになるまで気付かないような脆弱性を突いています。

イランのAPTの手口を阻止するセキュリティ・コントロール

上記のテクニックにさらされる機会を減らし、あなたの環境を標的にされにくくするために、私たちは次のような早急な対策をお勧めします。

  1. フィッシングとMFAバイパスを阻止するために多要素認証を実施する
  2. クラウド/SaaSアカウントで条件付きアクセスとデバイスポリシーを有効にする
  3. 不審なIP、異常な地域、VPN経由のログインを監視します。
  4. OAuthアプリとパーミッションのロックダウン:Microsoft 365/Azureのすべてのアプリコンセントとサービスアカウントを見直す。
  5. 特権アカウント、特に Exchange/Azure 内で管理者ロールを持つアカウントを定期的に監査する
  6. ユーザートレーニングの実施:偽のログインポータルやソーシャルエンジニアリングの手口を認識する。
  7. データ流出の監視:DLPルールとCASB(Cloud Access Security Broker)ポリシーを設定する。
  8. MFAのプッシュ振る舞いチェックする:何度も失敗した後の通知を制限するか、FIDO2のようなフィッシング体制のあるMFAオプションを使用する。

これらのコントロールは環境を強固にしますが、クレデンシャルの不正使用やネットワークのステルスを検出するには、能動的で行動主導型の可視性が必要です。

Vectra AIプラットフォームはどのように他社が見逃したものを検知するか

ほとんどのセキュリティ・ツールは、攻撃者がクラウドやアイデンティティ環境でどのように活動するかを監視するように設計されていないため、イランのAPT活動を検知 ことができません。Vectra AI Platformは、このギャップを埋めるために開発されました。

Vectra AIは、操作可能な静的な指標やログに頼るのではなく、AI主導の振る舞い検知技術を用いて、ネットワーク、Active Directory、Microsoft 365、Entra ID、Copilot for M365、AWS、Azure Cloud全体にわたる異常なアクティビティを特定します。ユーザーがアプリケーション、認証情報、トークン、データとどのようにやり取りしているかを継続的に監視し、脅威アクターが明白な警報を作動させることなく、侵害を示すシグナルを表面化させます。

しかし、検知だけでは十分ではありません。 Vectra AI Platformは、どのアラートが本当に重要なのかを明確にし、ノイズを排除することで、SOCチームが真の脅威を示すシグナルに集中できるようにします。レスポンス・アクションが組み込まれているため、アナリストは被害が拡大する前に、セッションの取り消しやアカウントのロックなど、攻撃を封じ込めるための措置を即座に講じることができます。このように、検知、明確化、制御を組み合わせることで、セキュリティチームは、洗練された最新の攻撃に断固として対応する自信を得ることができる。IDCによると Vectra AIを使用している組織は、少なくとも50%少ない時間で52%多くの脅威を特定しています。

Vectra AIがイランのAPTが使用する5つのコア・テクニックをそれぞれどのように検知しているかを紹介する:

テクニック Vectra AIの適用範囲
クレデンシャル盗難 変則的な地域、ユーザーエージェント、VPN経由のログインを含む、パスワードの散布や不審なサインイン動作を検出します。
クラウドアカウントハイジャック メールボックス、OneDrive、その他のサービスへの不正アクセス、特にユーザーの通常のベースラインから逸脱した行動があった場合にフラグを立てる。
偵察&ラテラルムーブ Entra IDオブジェクトの列挙、不正なOAuth同意フロー、および疑わしいAzureサブスクリプションのアクティビティを識別します。
正規ツールによるデータ流出 APIを介した大容量のダウンロードや大量のファイル転送など、承認されたSaaSアプリを介した異常なデータ移動を検出します。
Living-Off-the-Land Outlook、PowerShell、リモート・アクセス・ソフトウェアなど、日常的なワークフローに溶け込むネイティブ・ツールの悪用が表面化。

Vectra AIプラットフォーム はエージェントを必要としません。マイクロソフトとネイティブに統合され、アイデンティティ主導の攻撃に合わせたリアルタイムの検知ロジックを適用します。このアプローチにより、的確で忠実度の高いアラートと自動応答機能が提供され、SOCチームは誤検知に溺れることなく、断固とした行動を取ることができます。

すでにVectra AI NDRをご利用のお客様

アイデンティティとクラウドを中心としたこの新しい攻撃の波を防御するには、アイデンティティとクラウドをカバーする既存の導入を拡張することを強くお勧めします。これにより、こうした脅威の脅威となるハイブリッド環境全体にわたる統合された可視性と保護が保証されます。

今こそ、他の人が見ることができていないものを見るときです。

よくあるご質問(FAQ)