クローボットからオープンクローへ:デジタル裏口としての自動化
ブログを読む

クローボットからオープンクローへ:デジタル裏口としての自動化ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. ブログ
    >
  2. OPSEC(オペレーション・セキュリティ)

OPSECの失敗:脅威アクターのミスが防御側を助ける理由

1月9,2026
Lucie Cardiet
サイバー脅威リサーチマネージャー
OPSECの失敗:脅威アクターのミスが防御側を助ける理由

脅威アクターは、自分たちが規律正しく高度に熟練しているように見せようとすることがよくあります。ランサムウェアを「ビジネス」として運用する者もいれば、組織化されたサイバー犯罪グループや国家支援のチームもいます。彼らはツール、インフラ、回避策に時間を投資します。

しかし、公的なレポートを見ると、そのイメージが現実と一致しないことも少なくありません。

最近のいくつかの事例では、攻撃者が基本的な運用セキュリティ(OPSEC)のミスを犯しました。こうしたミスによって、攻撃者のインフラ、ツール、振る舞いが露呈しました。姿を消すどころか、攻撃者自身が防御側の可視性を生み出してしまったのです。

以下は、2025 年 12 月に研究者が報告した 3 つの OPSEC 失敗例です。

Devman:ランサムウェア運用における手続き上の OPSEC 失敗

以前の記事で、Devman ランサムウェアの技術的詳細(どのように動作し、既存ランサムウェアのコードを何から再利用したか)を取り上げました。

ローンチ後、Devman は研究者が「OPSEC が甘い」と表現した点について、X 上で公然と批判を受けました。複数のアナリストが、同グループがランサムウェア・アズ・ア・サービス(RaaS)提供を展開する過程で、自らのインフラや内部システムを露出させたと指摘しました。

報告された問題には以下が含まれていました。

  • ローンチ時に内部インフラが露出:内部サービスを含め、運用管理に使用されるシステムがインターネットからアクセス可能だった
  • 管理・通信システムの保護が不十分:研究者が運用の一部がどのように調整されているかを観察できた
  • 拙速な公開ローンチ:内部システムが適切に分離・保護される前に、RaaS プラットフォームが稼働した
  • 十分なハードニングなしでツールを再利用:OPSEC の観点で十分にテストされていない既存コンポーネントに依存していた

結果として、特にアフィリエイト獲得を狙うグループとしては、運用が未熟で制御が甘いという印象が公に広まりました。

Scattered Lapsu$ Hunters:標的検証における行動面の OPSEC 失敗

SLSH に関連するアクターは、サイバーセキュリティ企業への侵害に成功したと公に主張しました。スクリーンショットを公開し、機微データが盗まれたと述べました。

しかし、その後の報告で、アクセスされたシステムが本番環境ではなかったことが示されました。攻撃者は、現実味のある外観を持つ合成データを格納したハニーポットとやり取りしていたのです。

研究者は複数の OPSEC 失敗を指摘しました。

  • 対象環境の検証不備:分離されているか、監視されているかを確認せず、アクセス可能なシステムを実在環境だと決めつけた
  • 合成データを信用:見た目が正当らしいデータを、より深い検証なしに侵害の証拠として受け入れた
  • 時期尚早な公表:確認が取れる前に侵害を発表した
  • 自動化の問題による技術情報の露出: 繰り返しのスクレイピングやアクセス試行がプロキシ障害を引き起こし、追跡に有用な技術情報が漏えいした

主張が誤りだと示されると、グループの信頼性は損なわれました。

国家支援 APT:システム分離における技術面の OPSEC 失敗

研究者は、北朝鮮の脅威アクターが使用していたシステムが、広く使われている情報窃取型マルウェアである LummaC2 に感染していたことを突き止めました。感染したマシンは、北朝鮮のサイバー作戦に関与する開発者のものだったとされています。

ログ分析により、そのシステムに紐づく認証情報やツールが明らかになりました。さらに調査を進めると、そのマシンは、北朝鮮アクター(Lazarus Group を含む)に帰属するとされる 14 億ドル規模の Bybit 暗号資産窃取事件に関連するインフラと結びついたと報告されています。

報告された OPSEC 失敗には、以下が含まれます。

  • エンドポイント衛生の不備:攻撃者が管理するシステムが一般的な情報窃取マルウェアに侵害された
  • 認証情報の再利用:デバイス上に保存されていたメールアカウントや認証情報が、既知の悪性インフラと結びついた
  • 分離の欠如:ツール、フィッシング用ドメイン、運用資産が単一のシステム上に存在していた
  • 匿名化の不完全さ:VPN の利用でも、ブラウザ設定、言語設定、利用パターンを完全には隠せなかった

これは孤立した事例ではありません。2025 年 5 月には、DanaBot マルウェアの開発者が誤って自分たちのマシンを感染させてしまい、回収された認証情報データが後に調査官によって利用された事例もありました。

どちらのケースも、攻撃者が自分たちが展開するのと同じ脅威の被害者になり得ることを示しています。

防衛側にとってOPSECの過ちが重要な理由

これらのインシデントは、単純な真実を浮き彫りにします。脅威アクターも人間であり、熟練したチームであっても人間的なミスを犯すということです。

そして、そうしたミスが起きると、防御側が観測できるシグナルが生まれます。

  • 侵入後に攻撃者がどのように振る舞うか
  • どのツールやインフラを再利用するか
  • どのようにテストし、検証し、成功を公表するか
  • どこで分離や匿名化が破綻するか

欺瞞環境、合成データ、振る舞いベースの監視は、攻撃を「なくす」ものではありません。前提が崩れたときに、攻撃者の振る舞いを表面化させます。

攻撃者は、AI主導のツールをより採用するようになっています。自動化と AI は偵察、標的選定、悪用を加速できますが、人間の判断をループから排除するわけではありません。また、新たなミスを持ち込むこともあります。

  • 自動化された出力を過信する
  • 誤った前提をより速いスケールで拡大する
  • 機械速度でミスを繰り返す

技術は変わります。人は変わりません。

そしてそこに、防御側が可視性を得られる余地が残っています。

よくある質問 (FAQ)