Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW
最新レポート

Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
攻撃テクニック

イランのAPTはすでにハイブリッド・ネットワークに侵入している?

2025年7月10日
Lucie Cardiet
サイバー脅威リサーチマネージャー
イランのAPTはすでにハイブリッド・ネットワークに侵入している?

最近のイランとイスラエルのエスカレーションは、アイデンティティ、クラウド、企業ネットワークに狙いを定める国家とつながりのあるアクターによるサイバー作戦の急増に火をつけた。これらの十分な資金を持つグループは、従来の防御をすり抜けるために、ネットワークへの深い侵入とアイデンティティの悪用を組み合わせています。

彼らは、最初のアクセスのために公開アプリケーションを悪用し、phishing パスワードの散布によって認証情報を取得し、RDP、PsExec、またはリモートアクセスサービスを使って横方向に移動します。持続性は、スケジュールされたタスク、DLLのサイドローディング、隠しウィンドウ、プロトコルのトンネリングによってもたらされます。データは静かにステージングされ、アーカイブされ、しばしばレガシー・アラートをトリガーすることなく、不明瞭なチャネルを経由して流出する。

同時に、Microsoft 365、Azure、Google Workspaceの内部で、OAuthを悪用し、MFAを回避し、Outlook、OneDrive、Teamsを武器にしてアクセスを維持し、データを吸い上げるという、アイデンティティに焦点を当てたキャンペーンを展開しています。このような手口は、中東や欧米の重要なインフラ、政府、営利企業、NGOを標的としており、スパイ活動と破壊的攻撃(ワイパー、強制暗号化)が混在しています。

エンドポイントや境界管理だけに頼っていると、攻撃の連鎖の全貌が見えなくなってしまいます。クラウド・コラボレーション、ハイブリッド・インフラ、リモート・アクセスを使用している場合、すでに攻撃の標的になっている。

攻撃の黒幕は誰か?イランに関連するAPTのプロファイル

長期的なスパイ活動から完全な妨害工作まで、その目的はさまざまですが、各グループはネットワークとアイデンティティの両方のチャネルを活用して、侵入、持続、抽出を行っています。以下は、初期アクセス、ネットワーク TTP、ID/クラウド TTP の概要です。

グループ 初期アクセス ネットワーク戦術 アイデンティティ/クラウド戦術
APT33 (別名:ピーチ・サンドストーム,ホルミウム,コバルト・トリニティ,エルフィン,リファインド・キトン) 求人情報、ソーシャル・エンジニアリング・キャンペーン、既知の脆弱性を悪用したphishing 。
  • PowerShellやスケジュールされたタスクを経由して悪意のあるコードを実行する。
  • RDP、WMI、盗んだ認証情報を使って横方向に移動する。
  • エスカレーションとパーシステンスのためにクレデンシャルをダンプする。
  • 暗号化された、あるいは不明瞭な経路で機密データをアーカイブし、流出させる。
  • 難読化、レジストリキー、暗号化されたトラフィックを使用してステルス性を維持する。
  • 求人広告やソーシャル・エンジニアリングを利用したphishing 認証情報の取得。
  • Office 365とAzureアカウントにアクセスするためのパスワードスプレー。
  • 認証情報を取得したら、商用VPNを経由してアカウントにアクセスする。
  • Azure 専用のツールを使用して、Entra ID (Azure AD) を列挙し、ユーザーとグループのデータを採取します。
  • Microsoft Teams のメッセージ経由で悪意のある ZIP を配布し、Active Directory の情報を抜き取る。
APT34 (別名:Helix Kitten、OilRig、CHRYSENE、COBALT GYPSY) 特定の職務に就く個人を狙ったphishing 偽の求人情報。
  • リモートデスクトッププロトコルとVPNトンネリングを使用して移動する。
  • 既知のエクスプロイトによる認証情報のダンプと権限の昇格。
  • DNSトンネリング、FTP、危険な電子メールを通じてデータを流出させる。
  • マスカレード、署名付きバイナリ、ファイアウォール操作による検知回避。
  • Exchangeやその他のクラウドアカウントにアクセスするためのphishing 偽の求人情報。
  • Exchangeのようなクラウドメールの機能を活用し、こっそりとデータを流出させる。
  • データ転送サイズの制限を悪用して検出を回避する。
  • 認証情報を収集し、SaaS 環境間での横移動のために再利用する。
APT35 (別名:Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) phishing 、クラウドサービスを模倣した偽のログインポータル、侵害されたアカウント。
  • RDPとスケジュールされたタスクによる横移動の実行。
  • より深いアクセスのために、ブラウザやメモリから認証情報をダンプする。
  • 暗号化されたチャネルとクラウド共有プラットフォームを使用してデータを転送する。
  • ロギングを無効化し、C2トラフィックをWebアクティビティに紛れ込ませることで、セキュリティを回避する。
  • クラウド/SaaSサービスを模倣した偽のログインポータルを通じて、認証情報を狙う。
  • ソーシャル・エンジニアリングと説得力のある偽のサインイン・ページを使用して、MFA保護を回避する。
  • クラウドホスティングされたExchangeやその他のSaaSアプリケーションの脆弱性を利用し、特権アクセスを行う。
  • クラウドアカウントを使用して、関心のあるファイルや電子メールを無言で採取する。
APT42 (別名:Crooked Charms) ソーシャル・エンジニアリングを長期化させ、信頼できる連絡先になりすまして認証情報を得る。
  • 暗号化された HTTPS チャネルを使用して、ステルス性の高いデータ転送を行う。
  • なりすましVPNやマスカレードリモートセッションによるトンネリングアクセス。
  • 発見、キーロギング、データ収集のためのスクリプトの実行。
  • 正規のトラフィックに紛れ込み、警告を発しないようにする。
  • 広範なソーシャルエンジニアリングにより、Microsoft 365や同様のプラットフォームへの持続的なアクセスを獲得。
  • 正規のクライアント・アプリを悪用して、通常のユーザー活動に見せかける。
  • OneDriveのファイルやOutlookの電子メールをダウンロードする。
  • 機密データを抽出するための簡単なスクリプトを導入する。
マディウォーター (別名:STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) 悪意のある添付ファイルやリンクを危険なアカウント経由で送信するphishing 。
  • PowerShell、VBScript、スケジュールタスクによるスクリプトやmalware 実行。
  • リモートアクセスツールとWMIを使って横方向に移動する。
  • メモリ、ブラウザ、キャッシュされたソースからクレデンシャルをダンプする。
  • レジストリキーとDLLのサイドロードを使用した永続性の確立。
  • HTTP ベースの C2 チャネルを介した圧縮データの流出。
  • クラウドアプリの認証情報を盗むために、悪意のある添付ファイルやリンクを使ったphishing 。
  • 漏洩したアカウントを使って社内にさらにphishing 送信し、連鎖的な効果を生み出す。
  • クラウドアカウントを制御するために、クレデンシャルリセットプロセスとMFAシステムを狙う。
暴れん坊の子猫 悪意のあるAndroidアプリやphishing 認証情報を盗み、デバイスを制御する。
  • なりすましたSharePointドメインにホストされたリモートテンプレートWordドキュメントを通じてペイロードを配信。
  • フォールバックのOneDriveスタイルのエンドポイントを持つHTTPS上のSOAPを介してC2を維持する。
  • Base64エンコードされたアップロードを使用して、Telegramトークン、KeePass保管庫、機密ファイルを流出させる。
  • Telegramのアップデータを置き換え、explorer.exeにペイロードを注入することで持続する。
  • Androidのバックドアやphishing フィッシングサイトを通じて収集を拡大。
  • Android端末で正規のログインページを模倣し、Googleの認証情報をPhishing 。
  • キャプチャした認証情報を使用して、Gmailやその他のGoogleクラウドサービスにログインする。
  • 明らかなmalware 指標を避けながら、ブラウザセッションや内蔵クラウドアプリの機能を介してデータを抽出する。
アグリウス (別名DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) phishing 脆弱なサーバーを悪用したウェブシェルの展開。
  • 公開アプリや設定ミスを悪用してアクセス権を得る。
  • リモートデスクトップトンネリングによる内部偵察と横移動の実行。
  • 権限の昇格と永続化のための認証情報のダンプ。
  • 一般的な転送方法を使用してデータをステージングし、流出させる。
  • セキュリティツールを妨害し、検知を逃れるために活動を偽装する。
  • phishing ソーシャルエンジニアリングによるアクセス後、社内アカウントから認証情報を抜き取るスクリプトを展開する。
  • クラウドアプリで有効な認証情報と認証されたセッションを使用して、横方向にピボットする。

SOCチームが監視すべき5つのアイデンティティとクラウド技術

イラン系の脅威勢力は、従来のmalware エクスプロイトの域を超えつつある。彼らのキャンペーンは現在、IDシステムを悪用し、組織がすでに使用している信頼できるツールの中に潜り込むことにかかっている。これらの5つのテクニックは、クラウド環境で検知を回避し、永続性を維持する方法の中心となっています。それぞれが 重要な可視性のギャップ 従来のEDRやSIEMツールだけに頼っている場合、これらの5つのテクニックは重要な可視性のギャップを意味します。

  1. Phishing クレデンシャル窃盗
    Office 365やGmailを模倣した偽のログインポータル、パスワードの散布、MFAバイパスのテクニック。
  2. クラウドアカウントの乗っ取り
    盗まれた認証情報を使用して、電子メール、OneDrive、SharePoint、または Azure アプリにアクセスする。
  3. Recon and Lateral Movement
    Entra ID(Azure AD)を列挙し、不正なOAuthアプリや永続化のためのサブスクリプションを作成する。
  4. 正規のツールを介したデータ流出
    OneDrive、Outlook、またはウェブベースのAPIを介してデータを移動させ、通常のトラフィックの中に隠れる。
  5. SaaSとクラウドでオフザランドを生きる
    Outlookのような組み込みのSaaSクライアントや、AnyDesk/TeamViewerのようなリモートアクセスツールを使ってクラウドアカウントをコントロールする。
TA0001初回アクセス TA0002実行 TA0003持続性 TA0004特権のエスカレーション TA0005防衛回避 TA0006クレデンシャル・アクセス TA0007ディスカバリー TA0008ラテラル・ムーブメント TA0009コレクション TA0011Command & Control TA0010浸出 TA0040影響
T1566.001スピアフィッシング・アタッチメント T1047Windows管理インストルメンテーション T1098.005機器登録 T1068特権のエスカレーションのための搾取 T1564.004隠し T1110.001パスワード・スプレー T1012クエリ・レジストリ T1021.001RDP T1560アーカイブ収集データ T1071.001Webプロトコル T1048Altプロトコルの流出 T1485データ破壊
T1566.002スピアフィッシング・リンク T1053.005スケジュールされたタスク/ジョブ T1547ブートまたはログオンの自動開始 T1055プロセス・インジェクション T1036.005Masquerading T1555パスワードストアからの認証情報 T1082システム情報ディスカバリー T1021.002SMB管理株 T1102.001デッドドロップレゾルバ T1486衝撃のために暗号化されたデータ
T1133外部リモートサービス T1059.001パワーシェル T1562.001ツールの無効化または変更 T1555.003ウェブブラウザからの認証情報 T1069.002ドメイン・グループ・ディスカバリー
T1190公開アプリケーションの悪用 T1572プロトコル・トンネリング T1003OSクレデンシャル・ダンピング T1069.003クラウド・グループ・ディスカバリー
T1556.006MFAリクエスト生成 T1482ドメイン・トラスト・ディスカバリー
T1558.003Kerberoasting

イランのAPTが使用するMITREのテクニック

イランのAPTがクラウドとアイデンティティを狙う理由

イランの脅威グループにとって、クラウドとIDシステムは規模、ステルス性、戦略的価値を提供する。これらの攻撃者は単なる日和見主義者ではなく、現在の組織の運用方法に適応している。リモート・アクセス、フェデレーテッド・アイデンティティ、クラウドファーストのインフラは、多くのセキュリティ・チームにとって可視性が限られた広い攻撃対象領域を作り出している。

  • アイデンティティは新しい境界である。攻撃者が有効な認証情報、特にSaaSプラットフォームやクラウド管理者の役割に関連する認証情報を取得すると、多くの場合、検出を完全に回避する。エンドポイントやファイアウォールに焦点を当てたセキュリティ・ツールは、セッションが正当なものに見える場合、認証されたAPIコールや異常なログイン動作にフラグを立てることはほとんどない。
  • クラウド環境が隠れ蓑にイランのAPTは、Microsoft 365、Azure、Google Workspaceのような認可されたアプリケーション内で活動することが多い。彼らは弱いOAuthポリシー、誤った設定の条件付きアクセス、過剰な管理者権限を利用しています。このため、従来の制御ではユーザー、ロール、アプリにまたがる振る舞い 異常を検査するように設計されていない環境でも、APTは活動を続けることができます。
  • ハイブリッド・ネットワークは要となる。多くの場合、攻撃者はオンプレミスのシステムを侵害し、その足場を利用して接続されたクラウドリソースにアクセスする。マイクロソフトは、イラン人攻撃者がEntra ConnectとAzure Arcを悪用して、侵害されたテナント内で新しいインフラを立ち上げるなど、侵害されたオンプレミス環境とクラウド資産を橋渡しする攻撃を記録している。
  • クラウドネイティブのツールは両用できる。PowerShell、Microsoft Graph API、Teamsメッセージング、メールボックスの委譲は、コラボレーションを容易にするためのものだ。イラン人行為者は、環境の列挙、malware共有、データの移動にこれらの同じ機能を使用している。新しいバイナリや外部インフラを導入することはほとんどないため、典型的な侵害の指標を引き起こすことはありません。

要するに、クラウド攻撃とID攻撃によって、イランのAPTは静かに効果的に動くことができる。ユーザーの行動に紛れ込み、従来の防御を回避し、ほとんどの組織が手遅れになるまで気づかない隙を突く。

イランのAPTの手口を阻止するセキュリティ・コントロール

上記のテクニックにさらされる機会を減らし、あなたの環境を標的にされにくくするために、私たちは次のような早急な対策をお勧めします:

  1. phishing MFAバイパスを阻止するために多要素認証を実施する
  2. クラウド/SaaSアカウントで条件付きアクセスとデバイスポリシーを有効にする
  3. 不審なIP、異常な地域、VPN経由のログインを監視します。
  4. OAuthアプリとパーミッションのロックダウン:Microsoft 365/Azureのすべてのアプリコンセントとサービスアカウントを見直す。
  5. 特権アカウント、特に Exchange/Azure 内で管理者ロールを持つアカウントを定期的に監査する
  6. ユーザートレーニングの実施:偽のログインポータルやソーシャルエンジニアリングの手口を認識する。
  7. データ流出の監視:DLPルールとCASB(Cloud Access Security Broker)ポリシーを設定する。
  8. MFAのプッシュ振る舞いチェックする:何度も失敗した後の通知を制限するか、FIDO2のようなphishingMFAオプションを使用する。

これらのコントロールは環境を強固にしますが、クレデンシャルの不正使用やネットワークのステルスを検出するには、能動的で行動主導型の可視性が必要です。

Vectra AIプラットフォームはどのように他社が見逃したものを検知するか

ほとんどのセキュリティ・ツールは、攻撃者がクラウドやアイデンティティ環境でどのように活動するかを監視するように設計されていないため、イランのAPT活動を検知 ことができません。Vectra AI Platformは、このギャップを埋めるために開発されました。

Vectra AIは、静的なインジケータや操作可能なログに依存するのではなく、AI主導 振る舞い 検出を使用して、ネットワーク、Active Directory、Microsoft 365、Entra ID、Copilot for M365、AWS、Azure Cloud全体の異常なアクティビティを識別します。ユーザーがアプリケーション、認証情報、トークン、データをどのように操作しているかを継続的に監視し、脅威行為者が明白なアラームを作動させることなく、侵害を示すシグナルを浮上させます。

しかし、検知だけでは十分ではありません。 Vectra AI Platformは、どのアラートが本当に重要なのかを明確にし、ノイズを排除することで、SOCチームが真の脅威を示すシグナルに集中できるようにします。レスポンス・アクションが組み込まれているため、アナリストは被害が拡大する前に、セッションの取り消しやアカウントのロックなど、攻撃を封じ込めるための措置を即座に講じることができます。このように、検知、明確化、制御を組み合わせることで、セキュリティ・チームは、洗練された最新の攻撃に断固として対応する自信を得ることができる。IDCによると Vectra AIを使用している組織は、少なくとも50%少ない時間で52%多くの脅威を特定しています。

Vectra AIがイランのAPTが使用する5つのコア・テクニックをそれぞれどのように検知しているかを紹介する:

テクニック Vectra AIの適用範囲
クレデンシャル盗難 変則的な地域、ユーザーエージェント、VPN経由のログインを含む、パスワードの散布や不審なサインイン動作を検出します。
クラウドアカウントハイジャック メールボックス、OneDrive、その他のサービスへの不正アクセス、特にユーザーの通常のベースラインから逸脱した行動があった場合にフラグを立てる。
偵察&ラテラルムーブ Entra IDオブジェクトの列挙、不正なOAuth同意フロー、および疑わしいAzureサブスクリプションのアクティビティを識別します。
正規ツールによるデータ流出 APIを介した大容量のダウンロードや大量のファイル転送など、承認されたSaaSアプリを介した異常なデータ移動を検出します。
Living-Off-the-Land Outlook、PowerShell、リモート・アクセス・ソフトウェアなど、日常的なワークフローに溶け込むネイティブ・ツールの悪用が表面化。

Vectra AIプラットフォーム はエージェントを必要としません。マイクロソフトとネイティブに統合され、アイデンティティ主導の攻撃に合わせたリアルタイムの検知ロジックを適用します。このアプローチにより、的確で忠実度の高いアラートと自動応答機能が提供され、SOCチームは誤検知に溺れることなく、断固とした行動を取ることができます。

すでにVectra AI NDRをご利用のお客様

アイデンティティとクラウドを中心としたこの新しい攻撃の波を防御するには、アイデンティティとクラウドをカバーする既存の導入を拡張することを強くお勧めします。これにより、こうした脅威の脅威となるハイブリッド環境全体にわたる統合された可視性と保護が保証されます。

今こそ、他の人が見ることのできないものを見る時だ。

よくあるご質問(FAQ)