Google TAGがCANFAILをロシア系疑いアクターに紐づけ──JavaScript→PowerShellの軽量連鎖でウクライナの防衛・政府・エネルギーを狙う動きです

今日の深掘りポイント

• 初動は「PDFを装う二重拡張子のJavaScript」からのPowerShell実行という、メール経由での軽量かつ即応性の高い侵入パターンです。
• 攻撃者は、ウクライナのエネルギー組織を装ったフィッシングと、生成したターゲット用メールリストで業界・地域を絞り込み、指揮・統制やインフラ分断を狙う運用に見えます。
• 総合的なリスク評価としては、信頼度と発生可能性が高く、短期の対応優先度も高い事案です。TI・SOCはTTP更新とメール・エンドポイント・IDの三位一体の制御に舵を切るべき局面です。

はじめに

GoogleのThreat Analysis Group（TAG）が、ウクライナの組織を狙ったCANFAILマルウェアの配布キャンペーンを、ロシアの情報機関と関連が疑われる未確認の脅威アクターに紐づけたと報じられています。標的は防衛、軍事、政府、エネルギー分野で、フィッシングの送信者をウクライナのエネルギー組織に偽装し、PDFと見せかけたJavaScript（JS）でPowerShellを呼び出す流れが中核とのことです。業界・地域別に練られた宛先リストを用いた精密な配布と、JS→PowerShellという軽量のローダー設計は、現行のゲートウェイ対策やOfficeマクロ対策の「死角」を突くものに見えます。

本件は信頼性と確度が高い一方、攻撃の実運用性が高く即応が要るテーマです。日本のCISO/SOC/Threat Intelligenceの文脈でも、NATO・欧州連系や兵站支援の波及リスクを“仮説”として念頭に置きつつ、今すぐ反映できるTTPベースのコントロール更新が肝要です。

参考：Google TAGによる分析を伝える報道（The Hacker News）です。

深掘り詳細

事実整理（報道から読み取れる確定情報）

• Google TAGは、CANFAILキャンペーンの操作者をロシア情報機関と関連の疑いがある未確認アクターに紐づけています。
• 標的はウクライナの防衛・軍事・政府・エネルギー分野です。
• 最近のフィッシングでは、ウクライナのエネルギー組織を騙る送信者を用い、正規アカウントへの不正アクセスを狙います。
• CANFAILはJavaScript製のマルウェアで、PowerShellスクリプトの実行に設計上フォーカスしています。
• 添付はPDFファイルを装う二重拡張子の手口が使われ、ターゲティングには攻撃側が生成したメールアドレスリストが活用されています。
  （出典：上掲のThe Hacker News）

インサイト（編集部の読み筋と示唆）

• JS→PowerShellは「軽く、速い」初期侵入の典型です。Officeマクロ硬化や一部の添付型検知を回避しやすく、ユーザー実行（User Execution）に依存しながらも、PowerShellで後段の能力を柔軟に展開できるため、運用の俊敏性が高いです。
• 二重拡張子（例: .pdf.js）やPDFアイコン偽装は、ファイル種別を拡張子ではなくコンテンツ（MIME/マジックナンバー）で検査しない環境に“刺さる”典型の迂回策です。
• 宛先リストの生成・精密化は、本件が単発のばらまきではなく、作戦目的（指揮統制の攪乱、情報収集、兵站可視化など）に沿った“運用型の配布”であることを示唆します。
• “仮説”として、LLM等を用いた文面生成やソーシャルエンジニアリング支援が行われると、国・業界・組織文脈に寄り添う自然言語の質が上がり、クリック率や返信誘導率の微差が累積して作戦効率を押し上げます。誘導文面の自然さに頼る判別は、今後さらに難度が増す見込みです。
• 日本の組織にとっては、直接標的にならずとも、ウクライナ支援・エネルギー・防衛サプライチェーン、国際機関経由の“踏み石”として被弾する“仮説”は現実的です。ゲートウェイ一辺倒ではなく、ID・端末・ネットワークの多層で「JS→PowerShell→後段」の連鎖を断ち切る設計が必要です。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った“仮説”のシナリオです。個々の技術IDは代表例であり、環境により異なります。

• シナリオA：資格情報の奪取と業務メールの乗っ取り

  • 初期侵入: Spearphishing Attachment（T1566.001/002）、User Execution（T1204）
  • 実行: Command and Scripting Interpreter（T1059.007 JavaScript, T1059.001 PowerShell）
  • 防御回避: Obfuscated/Compressed Files & Information（T1027）、Masquerading（T1036）
  • 認証情報: Credentials from Password Stores/LSASS等（T1003系）、Valid Accounts（T1078）
  • 影響: 正規メール環境の乗っ取り→さらなる内部拡散、対外的な偽情報・指揮混乱の惹起です。

• シナリオB：ローダーからの二段階展開と横展開

  • 設定保持・永続化: Scheduled Task/Job（T1053.005）、Registry Run Keys/Startup Folder（T1060相当の現行ID）
  • 偵察: System Information/Process/Account Discovery（T1082/T1057/T1033）
  • 横展開: Remote Services（T1021系）、Windows Admin Shares（T1021.002）、WMI（T1047）
  • C2: Application Layer Protocol: Web（T1071.001）、Exfiltration Over Web Services（T1567）
  • 影響: 作戦情報・インフラ構成の収集、必要に応じ破壊・妨害系の後段投入の足場を形成します。

• シナリオC：ITからOTへの波及を狙う“境界跨ぎ”

  • 前提: 直接のOT侵入は困難だが、IT-OT間の不適切な接続やアカウント兼用が“仮説上の突破口”です。
  • 技術的経路: Remote Service経由のジャンプ、ファイル配布、スクрипト実行制御の不備
  • 影響: 監視・通報の遅延、運転計画の撹乱など“間接的混乱”が主、ただし設計不備があれば直接制御系への影響も排除できません。

• 地政学的波及（仮説）

  • 同戦術が支援国・サプライチェーンに水平展開されると、欧州電力連系やNATO側兵站の可視化・妨害につながる可能性があります。日本企業はGxP（ガバナンス・プロセス）での第三者接続や共同プロジェクト経由のリスクを見直す価値があります。

セキュリティ担当者のアクション

優先度の高い実装を“連鎖の断ち切り”という観点で整理します。

• メール・コンテンツ制御

  • .js/.jse/.wsf/.vbe等のスクリプト拡張子の受信禁止、二重拡張子・アイコン偽装の検出を「拡張子」ではなく「コンテンツ（MIME/マジックナンバー）」で厳密化します。
  • HTML/HTA経由のスクリプト誘導、HTML Smugglingの検知強化を行います。
  • 外部からの実行形式・スクリプトをサンドボックス実行し、JS→PowerShellのプロセス連鎖をシグネチャ化します。

• アイデンティティ防御

  • フィッシング耐性MFA（FIDO2等）を標準化し、条件付きアクセスでリスクベース制御を徹底します。
  • レガシープロトコル（IMAP/POP/基本認証）停止、異常なサインイン（地理・デバイス・Impossible Travel）の自動遮断ポリシーを適用します。
  • 外部からの“正規メールアカウント”への侵入を前提に、送信ドメイン認証（SPF/DKIM/DMARC）の厳格化と、内部BEC検知（送金・アカウント変更誘導）のルール強化を行います。

• エンドポイント＆スクリプト制御

  • Windows Script Host（wscript/cscript）の無効化や、WDAC/AppLockerでのスクリプト実行許可リスト化を適用します。
  • PowerShellはConstrained Language Mode、Script Block/Module/Transcriptionログの全有効化、AMS I/EDRのブロックモードを実践します。
  • ハンティング観点での連鎖検知（例）
    • wscript.exe/cscript.exe → powershell.exe の親子関係
    • powershell.exe の -enc/-nop/-w hidden、Download Cradle（Invoke-WebRequest/Start-BitsTransfer、COM経由MSXML2等）
    • 新規プロファイル配下や一時領域に出現するJS/PowerShellの実行

• ネットワーク・C2対策

  • 直インターネット通信の縮退（フルプロキシ化）、新規登録ドメイン・短命ドメインへのアウトバウンド制御、DNS/TLS SNI/JA3系のふるまい監視を行います。
  • EDR検知とプロキシブロックの連携で、JS→PowerShell検知時は即座に外向き通信を遮断するプレイブックを用意します。

• ユーザー・運用

  • “PDFに見えるが拡張子が.js” “内容確認にパスワードや再認証が必要” “エネルギー・防衛を騙る緊急連絡”といったシグナルを、ロール別に再教育します。
  • 攻撃者の宛先生成を逆手に取るため、カナリア用メールアドレス（未公開の監視用アドレス）を混在させ、到達時点でSOCに高優先度アラートを上げる仕組みを導入します。

• インシデント対応（踏まれた前提の初動）

  • 端末隔離、ユーザーの強制サインアウト、全セッション無効化、認証情報のローテーションを即時実施します。
  • EDRタイムラインでJS→PowerShellの指揮系統、ダウンロード先、生成物（後段ペイロード）を特定し、横展開の痕跡（管理共有/WMI/スケジュールタスク）を広域に捜索します。
  • 閾値を下げた一時的な強化（添付ブロック拡大、外向き制御の厳格化）を“作戦期間”として適用し、状況が落ち着けば徐々に通常体制へ戻します。

• OT/ICSを抱える組織の追加措置

  • IT-OT間の論理・物理分離の点検（双方向RDP/SMBの廃止、両用アカウントの禁止、データダイオード/ジャンプサーバの徹底）を即時レビューします。
  • OT資産の可視化・変更監視を強化し、IT側の異常と相関付けて早期警戒を上げます。

最後に、TIチームはGoogle TAG等の一次ソースに引き続き注目し、IoC/TTPの更新を迅速に検知・配信する“短サイクル運用”を回すことが肝心です。今回のような軽量連鎖は、検知の窓が短い一方で、同じ“癖”が繰り返されがちです。癖を押さえ、組織の検知・遮断・教育に素早く反映するスピードが勝負を分けます。

参考情報

• The Hacker News: Google ties suspected Russian actor to CANFAIL malware targeting Ukraine（Google TAGの分析を伝える報道です）: https://thehackernews.com/2026/02/google-ties-suspected-russian-actor-to.html