水飲み場から“作戦”へ──APT24のマルチベクター化が示す、持続侵入の次の常態

今日の深掘りポイント

• 水飲み場（Strategic Web Compromise）単独ではなく、アイデンティティ・サプライチェーン・クラウド・エンドポイントを束ねる「マルチベクター型の作戦」へと重心が移っている点が本質です。
• 報道ではBADAUDIOを軸に3年規模の持続侵入が示され、単一テクニック対策（例：URLブロック、パッチ当て）では破られる“作戦レベル”の継戦能力が示唆されます。
• 標的は政府・防衛・ハイテクに加え、金融など情報価値の高い領域で、組織間の信頼連鎖（取引先・共同研究・下請け）を横断する動きが想定されます。
• 直近の危険度は高い一方、即時性は限定的という評価が整合的で、SOCは単発IOC追跡ではなく、長期・低頻度・多経路の痕跡を束ねる相関分析基盤の整備が急務です。
• 日本企業は、開発・製造・サプライチェーンの境界が薄い構造ゆえ、アイデンティティとSaaSの可視化不備が“攻撃の自由度”を与えやすい点に注意が必要です。

はじめに

APT24が水飲み場攻撃からマルチベクター攻撃へ舵を切ったという報告は、単一の入口対策に依存してきた従来の守りの限界を突きつけます。提供情報によれば、Google Threat Intelligenceが中国系とされるAPT24によるBADAUDIOを用いた3年に及ぶ持続的侵入を一次情報として公表し、戦略的ウェブ改ざんからより高度な侵入経路への転換が確認されたとされます。これが政府・防衛・ハイテクに加え金融領域でも影響を及ぼし得ること、さらに米中間のサイバー攻防の緊張を高める地政学的含意が指摘されています。

本稿では、公開要旨と参考リンクから読み取れる「事実」と、SOC運用・脅威インテリジェンスの観点で掘り下げる「インサイト」を分けて整理し、MITRE ATT&CKに沿った脅威シナリオと現実的なアクションへ落とし込みます。一次情報の技術細部（マルウェア機能差分や明示IOCs）が未提示のため、シナリオ部分は明確に仮説であることを明記します。

深掘り詳細

事実：今回見えていること

• APT24は、水飲み場攻撃に依存した戦い方から、複数の攻撃手法を並行・連鎖させるマルチベクター攻撃へ移行していると報告されています。
• 標的は特定業界・地域に偏り、情報収集とデータ窃取が主目的とされています。関連言及では金融・政府機関に対する攻撃増加が示唆されています。
• BADAUDIOと呼称される要素（マルウェア/フレームワーク）が持続侵入の中心にあり、3年規模の滞在が確認されたとされています（提供情報ベース）。
• 従来の防御策が通用しづらくなっている、という効果面の変化が強調されています。

参照（提供リンク）:

• Beyond the Watering Hole: APT24’s Pivot to Multi-Vector Attacks | malware.news

インサイト：なぜ今、マルチベクターか（推測を含みます）

• ブラウザサンドボックス強化やパッチ適用の加速で、水飲み場単独の成功率は構造的に低下しており、入口を複線化して「どこかが通る」確率最大化を狙うのは合理的です。典型的には、戦略的ウェブ改ざんでの指紋採取・第一段配布と、標的化フィッシングでのアイデンティティ奪取、サプライチェーンの信頼関係悪用を束ねる形です。
• 長期滞在（複数年）を成立させるには、エンドポイントだけでなくID基盤（IdP）、SaaS、クラウドIaaS、境界アプライアンスなどの「運用上の死角」を踏み分ける必要があります。複数ベクターを段階的に使い分けることで、検知面のリスク分散（ある経路が露見しても他が生きる）を図っていると見られます。
• 先端技術や防衛関連の知財・計画情報は最終保管先がSaaS/コラボ基盤に偏在しがちです。結果として、EDR偏重の可視化では「侵入の本番」が見えず、クラウド・ID・ネットワーク・エンドポイントのテレメトリを統合できない守りは、作戦レベルの侵入に対して構造的に不利になります。
• 日本では大企業の系列・委託網が深く、開発と製造、研究と実装のデータが多様なテナントに散らばりがちです。信頼連鎖の横断を狙うマルチベクター型には“美味しい土壌”であり、標的選定が広がる可能性が高いです。

脅威シナリオと影響（MITRE ATT&CKに基づく仮説）

以下は、報道の要旨を踏まえた想定シナリオであり、一次情報の技術詳細が公開され次第の更新が前提です。

• シナリオ1：二段型ウェブ改ざん＋ID乗っ取りでのSaaS窃取

  • 初期侵入（仮説）:
    • T1189 Drive-by Compromise（水飲み場での指紋採取・選別配布）
    • T1566 Spearphishing Link/Attachment（ピンポイントでのID狙い）
    • T1190 Exploit Public-Facing Application（脆弱CMSやリバースプロキシ）
  • 実行・持続・権限昇格:
    • T1059 Command and Scripting Interpreter
    • T1204 User Execution（誘導ファイル）
    • T1547 Boot or Logon Autostart Execution
  • 認証情報・横展開:
    • T1556 Modify Authentication Process / T1552 Unsecured Credentials
    • T1078 Valid Accounts（IdP/メール/SaaS）
    • T1021 Remote Services（VPN/RDP/SSH）
  • C2・流出:
    • T1071 Application Layer（HTTPS）, T1573 Encrypted Channel
    • T1041 Exfiltration Over C2 Channel
  • 影響: SSOを経由したSharePoint/Drive/メールの系統的窃取、外形は「正規ユーザ動作」に見えるため発見が遅延します。

• シナリオ2：サプライチェーン経由の信頼関係悪用で防衛関連へ波及

  • 初期侵入:
    • T1195 Supply Chain Compromise（ビルド/更新配布の改ざん）
    • T1199 Trusted Relationship（委託先からの横入り）
  • 防御回避:
    • T1218 Signed Binary Proxy Execution（LOLBAS）
    • T1036 Masquerading（正規プロセス偽装）
  • データ回収:
    • T1005 Data from Local System / T1025 Data from Removable Media
    • T1105 Ingress Tool Transfer（追加モジュール投入）
  • 影響: 共同研究・調達プロセスを媒介に高機密資料へ到達、監査ログは委託先側に散在し、事後調査が困難になります。

• シナリオ3：開発環境（Dev/CI）からクラウド本番へ“静かな”横展開

  • 初期侵入:
    • T1566 Spearphishing（開発者狙い）
    • T1552 Credentials in Files（PAT・APIキー）
  • 横展開・権限昇格:
    • T1550 Use of Web Tokens（OAuth/Refresh Token悪用）
    • T1484 Domain/Cloud Policy Modification（IdP/CI権限強化）
  • 影響: コンテナレジストリ・IaC・シークレット管理から本番クラウドに連鎖、短時間のスナップショット吸い上げで低頻度・大容量の一括窃取が成立します。

日本の組織への含意（総合）:

• 取引関係の広さ、委託先のセキュリティ成熟度のばらつき、SaaSへの急速な業務移行が、マルチベクター化と最も相性が悪い条件です。防衛・ハイテク・金融のみならず、素材・装置・物流といった“周辺の強者”も攻撃連鎖の節点になりえます。

参考（ATT&CK全体像の確認用）:

• MITRE ATT&CK（全体フレーム）: https://attack.mitre.org/ （技術IDは上記の便宜参照です）

セキュリティ担当者のアクション

単発のIOC収集ではなく、「長期・低頻度・多経路」を前提に“作戦レベル”での検知・阻止を組み立てます。優先度順に具体化します。

• 48時間以内（初動の土台固め）

  • アイデンティティの健全化:
    • 管理者・特権アカウントの棚卸し、使用実績のない特権の即時剥奪。
    • レガシープロトコル（IMAP/POP/基本認証）の無効化、MFAのプッシュ同意を番号一致やFIDO2へ強化。
  • 出口監視の即効薬:
    • 新規登録ドメイン（Domain Ageが若い）、高エントロピーSLD、長期ビーコン間隔（例：>1時間）での定期外向通信のフラグ付け。
    • HTTP(S)での少量・規則的送信（キロバイト級）＋時刻ジッターの検知ルールを追加。
  • 水飲み場のフォレンジック前提でのユーザ保護:
    • 重要ユーザのブラウザプロファイルの分離（業務用/閲覧用）とダウンロード実行制限の強制。

• 7日以内（相関基盤とハンティング）

  • テレメトリの横断相関を実装:
    • EDR・プロキシ/DNS・IdP/SaaS・VPN/ゼロトラストGWのイベントを同一ID/端末/セッションキーで紐付ける“人・端末・アプリ”軸のデータモデルを確立。
    • 1ユーザに対する複数ベクターの近接発生（数日〜数週内のフィッシング、異常SaaS同意、低頻度C2）の複合スコアリングを導入。
  • ハント命題の具体例（環境に合わせて調整）:
    • regsvr32/mshta/rundll32等（T1218）の外向通信同伴実行の抽出。
    • OAuth同意の新規アプリで高権限スコープを要求し、同時期にVPNの「未知ASN」からの接続増加があるユーザを特定。
    • 週単位の定期ビーコン（例：毎週月曜9:17±5分）など「人間の勤務時間に同期する低頻度通信」の探索。

• 30日以内（構造の改修）

  • 信頼連鎖の制御:
    • 委託先IDの条件付きアクセス分離（デバイス姿勢と地理・ASN制約）、外部来訪者のダウンロード制限。
    • SaaSの組織間共有リンクを期限付き・ドメイン限定に標準化。
  • クラウド・CIの鍵管理:
    • PAT/APIキーの最小化・短寿命化、棚卸しと自動ローテーション。ソース管理でのシークレット検出をPRブロッカーに昇格。
  • 変化検知を優先するデータ保持:
    • DNS・IdP・SaaS・VPNのログ保持を90日→180日以上へ延伸し、長期パターンの差分検知を可能化。

• 90日以内（作戦レベルの検証）

  • Purple Team演習:
    • 本稿の3シナリオをベースに、ATT&CK手法単位でなく“連鎖”として検知・封じ込め・事後対応の各KPI（MTTD/MTTR、封じ込め範囲、証拠保全の完全性）を測定。
  • 継続監査:
    • 重要SaaSのOAuthアプリ監査（権限スコープ・インストール者・利用実績）、未使用高権限の撤去を定常化。
  • 経営・法務連携:
    • サプライヤとのインシデント協定（相互のログ提供・通知SLA・フォレンジック支援）を締結し、連鎖侵害に備えます。

メトリクスの含意（総合所見）:

• 新規性と信頼性が高い一方、即時の緊急度は限定的という評価は、いま必要なのが「恒常的な構え替え」であることを示します。すなわち、単発のパッチやブロックではなく、アイデンティティ・SaaS・ネットワーク・エンドポイントの相関と、低頻度・長期持続に耐える観測・保全体制の拡充が“投資対効果”の面でも合理的です。確率の高さは「当社は対象外」という前提を崩し、優先は“見える化”と“連鎖遮断”にあります。

参考情報

• Beyond the Watering Hole: APT24’s Pivot to Multi-Vector Attacks | malware.news

注記

• BADAUDIOの具体的な技術機能、IoC、C2インフラ等の一次情報リンクは本稿では未確認です。上記のMITREマッピングとシナリオは、公開要旨に基づく仮説であり、一次情報が入手でき次第の検証・更新を前提として提示しています。各組織は自社環境のログ・資産・委託関係に即して、検知ロジックと優先度を調整してください。