国家支援グループがDIBを多面攻撃——UAV/自律システム、採用プロセス、エッジ機器、製造サプライチェーンが狙われています

今日の深掘りポイント

• 四つ巴の国家アクター（中国・イラン・ロシア・北朝鮮）が、同じ「入り口（採用プロセス・エッジ機器・信頼関係）」と「同じ獲物（UAV/自律システムの知財・製造情報）」に収斂している点が決定的です。これは一過性の攻勢ではなく、長期の産業優位を狙った継続作戦とみるべきです。
• 検出回避を前提とした作戦様式（生活の中のバイナリ＝LOLbins、クラウド正規基盤の悪用、低ノイズの横移動）が広がり、EDR単体では捕捉しづらい「静かな侵害」の管理が核心になります。
• 防衛大手よりも、加工ノウハウ・治具・材料規格を握る2～3次サプライヤーが実被害の震源になりやすいです。日本のDIBにおいても、図面/CAD・PLM・外注ポータル・受発注EDIの保護が最優先領域になります。
• HR・調達・設計・製造とセキュリティの連携がボトルネックです。採用プロセスの審査・技術資料のアクセス権・エンジニアのコラボ環境（PLM/Git/Sim）のゼロトラスト化を、同時多発的に進めるべき局面です。
• 指標全体からは、確度・即時性・実行可能性が高く、やや既知の脅威の強化版という読み筋です。驚きよりも「運用の詰め」で差が出る案件で、24～72時間単位の是正と、90日での構造改革の両輪が勝敗を分けます。

はじめに

Googleの脅威インテリジェンスグループは、中国・イラン・ロシア・北朝鮮の国家支援アクターやハクティビストが、防衛産業基盤（DIB）を横断的に標的化していると報告しています。焦点はUAV（無人機）や自律型車両の知財・製造データ、そこへ至るための初期アクセス（採用プロセスの悪用、エッジ機器の侵害）、そして製造サプライチェーンの信頼関係です。ロシア・ウクライナ戦争における兵站・技術投入の実戦知見が、攻撃側のターゲティング精度を押し上げている構図が透けて見えます。
このテーマはNATOや輸出管理に波及し、日本のDIBにとっても「国外最終組立と国内部品の相互依存」を突かれるリスクが現実化しています。派手さはなくとも、地道な対策の積み上げが最短の近道です。

参考：二次報道（一次情報はGoogle TAG） The Hacker News: Google Links China, Iran, Russia, North Korea to Cyber Campaigns Targeting Defense Sector

深掘り詳細

事実整理（レポート要点）

• 国家支援アクター（中国・イラン・ロシア・北朝鮮）およびハクティビストが、DIBを計画的に狙撃。
• 関心の中心はUAV/自律型車両の関連技術・運用データ。
• 初期アクセスは、
  • 採用プロセスの悪用（偽求人・リクルート接触・応募資料経由の誘導など）、
  • エッジ機器（VPN/境界アプライアンス/メールゲートウェイ/リモート管理装置等）の侵害、
  • 製造サプライチェーンの信頼関係を踏み台にする手法が目立つ、という三本柱です。
• 検出回避（EDR回避・正規基盤悪用・低ノイズ化）を前提とした作戦スタイルが観測されています。

出典：前掲The Hacker News（一次情報はGoogle TAG）

編集部インサイト（なぜ今、何が変わったか）

• 攻撃対象の「最短経路」が洗練された結果、場所（プライムか下請けか）ではなく「データの重み」で狙われる時代になっています。たとえば、CAD/PLMの設計意図、制御ソフトのパラメータ、材料証明、試験ログなど、軍事転用価値が高い断片データが散在する中小拠点が実は一番危ないです。
• UAV/自律システムはセンサー融合、経路計画、耐妨害（ジャミング）など“アルゴリズムの妙”が競争力の源泉です。大量の知財を盗み、製造プロセスのカギ（治具・加工条件）まで押さえれば、模倣や対抗策開発が一気に進みます。攻撃者のROIが高いのは当然です。
• 検出回避が常態化したことで、守る側の「点での検知」から「系列での逸脱検知（人・端末・リポジトリ・クラウド横断のふるまい組み合わせ）」への移行が急務です。EDRの強化は重要ですが、ID基盤・管理プレーン・開発/設計SaaSの可視化と抱き合わせで初めて効果が出ます。
• ハクティビスト名義の活動も一部は偽旗・補助線の可能性があります（仮説）。DIBに対する心理的圧力や混乱の演出により、恒常的な過負荷状態を作る狙いも否定できません。

脅威シナリオと影響

以下は公開要約に基づく仮説シナリオで、MITRE ATT&CKの観点を付しています。実環境への適用時は自組織の資産・業務フローに合わせて具体化してください。

• シナリオ1：UAVアルゴリズムと試験データの窃取（自社エンジニア経由）

  • 偵察/準備：T1598（スピアフィッシング対象調査）、T1583（攻撃インフラ取得）
  • 初期アクセス：T1566.002（求人連絡を装ったリンク型スピアフィッシング）、T1204（ユーザー実行）
  • 権限維持/回避：T1136（クラウド/O365等のアカウント作成）、T1562（防御回避）
  • 横移動/発見：T1087（アカウント探索）、T1021（リモートサービス経由の横移動）
  • 収集/流出：T1039/T1114（ファイル/メール収集）、T1567（Webサービス経由の流出）
  • 影響：アルゴリズム・パラメータの流出、対抗技術の短期開発、将来調達価格・性能に波及。

• シナリオ2：エッジ機器からPLM・ビルド環境への静音侵害

  • 初期アクセス：T1190（公開アプリ脆弱性悪用）、T1133（外部リモートサービス悪用）
  • 永続化/回避：T1547（自動起動の悪用）、T1553（コード署名/信頼の悪用）
  • 横移動：T1210（リモートサービス悪用）、T1047（WMI）
  • 収集/流出：T1005（ステージング領域からの収集）、T1041（C2チャネル上の流出）
  • 影響：PLM/Git/アーティファクトの改ざん・窃取、サプライチェーン改変の足場化。

• シナリオ3：製造サプライチェーンの信頼関係を使った間接侵入

  • 初期アクセス：T1199（信頼関係の悪用）、T1195（サプライチェーン侵害）
  • 横移動/回避：T1078（正規アカウントの悪用）、T1036（偽装）
  • 収集/流出：T1119（自動収集）、T1567（クラウド経由の静音流出）
  • 影響：工程条件・検査規格・材料証明の流出、品質逸脱・安全性低下のリスク。

• シナリオ4：ハクティビスト名義の攪乱＋本命の長期潜伏（偽旗の可能性を含む仮説）

  • 目標：監査・復旧資源を攪乱要因に割かせ、本命侵入の発覚遅延を狙う。
  • ATT&CK：T1499（妨害/可用性低下）、T1560（アーカイブ）、T1078（認証回避）
  • 影響：監視疲労、検知遅延、調達・輸出管理判断の遅滞。

全体影響としては、機密（CUI/ITAR相当を含む）の逸失に加えて、偽造部材・改ざんソフトの混入による安全性/信頼性の毀損、同盟国調達への連鎖遅延が懸念されます。金融的損失だけでなく、作戦上の非対称性を長期に生むのがこの攻撃群の厄介な点です。

セキュリティ担当者のアクション

「今すぐやること（72時間）」

• エッジ機器の管理プレーンを閉じる：管理UIは管理用セグメント/VPNのみに制限、グローバル到達を遮断します。直近の設定変更・新規管理アカウント・未知の証明書/キー登録を棚卸しします。
• 採用・外部連絡の高リスク面を一時強化：採用窓口の添付・リンク実行ポリシーを厳格化し、候補者資料は隔離VM/ブラウザ分離でのみ開封します。人事・採用代行のO365/Google Workspaceアプリ同意（OAuth）を棚卸しします。
• 重要設計/製造データの“出口”を監視：PLM/Git/設計SaaSからの異常転送（時間外・大量・新規宛先・圧縮暗号化）に即時アラートを張ります。クラウド間コピー（Box/Drive/S3等）の監視を追加します。
• ハンティングの即席セット
  • 新規・不審な管理者ロール付与（IDP / SaaS監査ログ）
  • mshta/rundll32/powershellの非管理端末での不規則実行（LOLbins検出）
  • エッジ機器からの外向き長時間セッション（C2疑い）

「30日で固めること」

• ID中心のゼロトラスト運用へ最低限の舵切り：すべての管理系/設計系SaaSに対し、MFA強制・条件付きアクセス（端末準拠・地理制限）・特権アクセスのJIT化を適用します。
• PLM/Git/アーティファクトの分離と監査：設計中の高価値プロジェクトは個別テナント/専用VPCで囲い、DLPと電子透かしを有効化します。レビュー時の外部共有リンクはワンタイム・短寿命・透過ログ付きにします。
• エッジ機器の「SLA付き健全性」：OS/署名/パッケージの更新SLA、設定ドリフト検出、管理アクセスの踏み台一本化（ジャンプサーバ/PAW）を標準化します。
• 採用とセキュリティの連結：偽求人/偽面談の教育をエンジニア向けに実施し、コードや設計のサンプル提出時は「社内テンプレの匿名化版のみ」をルール化します。

「90日で構造を変えること」

• サプライヤー階層のリスク分布を見直し：2～3次の加工・材料・検査ベンダーを含むクリティカル・パスを特定し、ID連携・ファイル交換・遠隔保守の最小権限化と多層認証を導入します。セキュリティ条項（脆弱性対応SLA、SBOM/更新計画、クラウド滞留先の所在）を調達契約に織り込みます。
• 高価値データの「使い方」を変える：CUI相当の設計・試験・製造データは、用途限定・時間限定の暗号化コンテナで配布し、閲覧には端末健全性・スクリーン透かし・印刷制限を前提化します。
• 体系的なテレメトリ統合：EDR/NDR/IDP/SaaS/PLM/Git/エッジ機器ログを一元化し、ふるまい相関（アカウント権限変更→新規APIトークン→大量取得→外向き転送）での検知に移行します。
• 演習と共有：採用部門・設計・製造・調達を巻き込むレッドチーム/テーブルトップ演習を四半期に一度実施し、同業ISAC/CSIRTコミュニティへの戦術TTP共有をルーチン化します。

運用の勘所

• 「静かに長く居続ける」ことが前提の相手には、単発の阻止ではなく「露見コストを上げ続ける運用」が効きます。権限の期限、管理プレーンの不可視化、データの用途制限、行動の関連付けの4点が柱です。
• 指標が示す通り、いま動けば成果が出やすいタイミングです。逆に、後手に回ると“既に入られていた”ケースが多発します。まずは管理プレーンの遮断と高価値データの出口監視から着手してください。

参考情報

• 二次報道（一次情報はGoogle TAG）: The Hacker News: Google Links China, Iran, Russia, North Korea to Cyber Campaigns Targeting Defense Sector

本稿は公開要約と外部報道に基づく編集部の分析で、特定の攻撃グループや事案を断定するものではありません。MITRE ATT&CKのマッピングは仮説であり、自組織の資産・ログの粒度に合わせてチューニングしてください。皆さんの現場にとって、今日から動かせる優先順位づけの一助になれば幸いです。