新アクター「GREYVIBE」—AIで磨かれたスピアフィッシングと偽サイトを武器に、対ウクライナ作戦を継続中です

今日の深掘りポイント

• ロシア語話者の新グループGREYVIBEが、2025年8月以降、ウクライナと関連組織に持続的なキャンペーンを展開し、生成AI/LLMで攻撃効率を高めていると報じられています。
• 主軸はスピアフィッシングと偽サイト（偽のCaptcha/成人クラブの偽サイト）を使ったマルウェア配布・認証情報窃取で、軍・政府から民間まで裾野広く狙っています。
• 供給網・支援国側に波及し得る構図で、日本企業も「対ウクライナ連携点（物流/NGO/製造/金融/政府系助成など）」経由の踏み台化に備える必要があります。
• 生成AIの導入は「文面最適化」だけでなく、フィッシング量産・バリエーション生成・被害者の属性最適化・検知回避メタデータの自動調整といった運用のスケール化を意味します。
• 現時点の公開情報は限定的で、一次ソースの詳細は待ちの段階ですが、確度・即時性が高い脅威として、コンテンツ検知偏重から「インフラ・振る舞い・アイデンティティ」軸の防御へ重心移動が必要です。

参考情報（公開報道）: The Hacker News: New Russian-Linked GREYVIBE Targets Ukraine with AI-Powered Cyber Attacks (2026-05-29)

はじめに

戦時下のサイバー空間では、国家系・準国家系アクターが一歩先の運用を素早く取り込みます。GREYVIBEはその最新例です。報道によれば、2025年8月からウクライナおよび関連組織に対し、スピアフィッシング、偽Captchaページ、成人クラブを装った偽サイトといった“人を押し出す”初期侵入を多層的に使い分け、生成AI・LLMで攻撃を加速しているといいます。ベンダー命名による「PhantomMail」「PhantomRelay」といった手法名も挙がっていますが、一次資料は限定的で、詳細なマルウェア系譜やC2インフラの断定は時期尚早です。

ただ、メトリクスが示す総体像はクリアです。新規性は相応に高く、実行中の作戦に基づく緊急性と信頼度が高い一方、対処の具体性はIoC偏重ではなく、コア・コントロールの強化と演習に重心を置くべき局面だと読めます。現場では「AI化により”雑でも当たる”の量が質を凌駕する」現象が既に起きています。ここを直視し、検知や教育の前提を更新するタイミングです。

深掘り詳細

いま分かっている事実（公開報道の骨子）

• アクター: ロシア語話者の新グループ「GREYVIBE」。活動はクレムリンの国家利益に整合的と報じられています。
• 期間: 2025年8月以降、継続的に作戦を展開中です。
• ターゲット: ウクライナの軍事・政府・民間・ビジネス関連組織、ならびにウクライナ関連組織です。
• TTPの軸:
  • スピアフィッシングメール（高品質なローカライズ、文脈適合度の高い誘導）です。
  • 偽のCaptchaページでユーザー操作を強制し、フィルタやクローラを回避しながら次段へ誘導します。
  • ウクライナの成人クラブを装った偽サイトでマルウェア配布・認証情報収集を図ります。
• AI活用: 生成AI/LLMにより、誘導文面・偽サイト・マルウェア運用の一部工程をスケール化・最適化していると報じられています。
• ベンダー用語: 「PhantomMail」「PhantomRelay」などの手法名が挙げられています（詳細は未公開/限定的）です。

一次の技術レポートやCERT通報の公開が確認できる段階ではないため、IOCや検体ハッシュの網羅列挙は差し控え、作戦設計・防御観点にフォーカスします。出典: The Hacker News, 2026-05-29

編集部のインサイト（AIの“量と質の両利き化”が本丸）

• 量産と多様化の同時達成です。LLMは文面の品質向上だけでなく、業種・役職・季節要因・行事・法令改正などのコンテキストを素早く織り込んだ「小口の高精度キャンペーン」を大量並列化します。個別最適の集合体が、従来のシグネチャ前提の防御をすり抜けやすくします。
• 偽Captchaは“人間らしさ”のゲーティングです。クローラやサンドボックスの自動化検知を避けつつ、ユーザーのクリックや入力でトリガを確実化する古典的手口にAIの微細な文面・UI最適化が掛かると、初期侵入のCVRは一段上がります。
• 「PhantomMail/PhantomRelay」という命名は、メール基盤・中継層の悪用（リレー/転送/スレッド乗っ取り/認証方式の弱点突き）や、前段インフラの多段化（踏み台の連鎖）を示唆します。仮説ですが、これが事実なら、ヘッダ異常や配送経路の微差・SASL/IMAPの挙動監視が効点になります。
• 供給網と支援国への圧力です。軍直系と同時に、ロジスティクス、NGO、調達・助成の周辺ノードを踏み台・情報収集に使うのはロシア系作戦の定番です。日本企業は欧州拠点や国際物流・人道支援・保険・リーガルとの接点が思わぬ脆弱面になり得ます。

要するに「メール/ウェブ誘導×AIの工場化」が本件のキモです。だからこそ、コンテンツだけを見る検知から、インフラ素性・リダイレクト鎖・アイデンティティ信頼状態・時間相関という“土台の挙動”へ、観測点を移す必要があります。

脅威シナリオと影響

以下は、公開情報とロシア系対ウクライナ作戦の一般的パターンから編集部が作成した仮説シナリオです。MITRE ATT&CKは想定マッピングであり、確証データの更新を前提にチューニングしてください。

• シナリオ1: 会話スレッド乗っ取りによる拡散

  • 概要: スピアフィッシングで担当者のメールアカウントを奪取し、既存スレッドに自然に割り込んで二段目の悪性リンク/添付を拡散します。
  • 主なATT&CK:
    • 初期侵入: T1566.001/002（Spearphishing Attachment/Link）, T1204（User Execution）
    • 認証・横展開: T1078（Valid Accounts）, T1114（Email Collection）
    • C2/持続化: T1071（Application Layer Protocol/HTTPS）, T1053（Scheduled Task）
    • 流出: T1041（Exfiltration Over C2 Channel）
  • 影響: 組織内外の信頼境界を越えて拡散力が高まり、被害がリンク構造に沿って増幅します。DMARC強制や会話履歴保護の欠落が致命点になります。

• シナリオ2: 偽Captcha/偽サイト経由のウォータリング＋ドロッパ連鎖

  • 概要: 成人クラブ等の関心誘導型偽サイトでCaptchaを踏ませ、スクリプト/ドロッパを段階配信。EDRを回避しながら資格情報・文書を回収します。
  • 主なATT&CK:
    • 初期侵入: T1189（Drive-by Compromise）, T1566.002（Spearphishing Link）
    • 実行/EoP: T1059（Command and Scripting Interpreter/PowerShell等）, T1036（Masquerading）, T1027（Obfuscated/Compressed Files）
    • 認証情報: T1555.003（Credentials from Web Browsers）, T1539（Steal Web Session Cookie）
    • C2/流出: T1105（Ingress Tool Transfer）, T1041（Exfiltration Over C2 Channel）
  • 影響: サンドボックス回避と段階配信で検知が遅延し、短時間で高価値データが抜かれます。

• シナリオ3: 支援国サプライチェーン踏み台化

  • 概要: 物流/NGO/法務・会計ベンダーを侵害し、ウクライナ関連の輸送計画・資金フロー・契約文書を把握。必要に応じて改ざんや遅延を誘発します。
  • 主なATT&CK:
    • 初期侵入: T1566系（取引関係を偽装）, T1190（Exploit Public-Facing Application, 該当する場合）
    • 横展開: T1021（Remote Services）, T1087（Account Discovery）
    • 収集/流出: T1005（Data from Local System）, T1041
  • 影響: 作戦や調達の可視化により、物理空間での行動予測と妨害が容易になり、軍民双方に遅滞とコストが波及します。

• シナリオ4: 情報窃取の“影響作戦”ブースター化

  • 概要: 盗取文書・メール断片を選択的にリーク・編集し、政治的真空や不信を醸成します（仮説）。
  • 主なATT&CK（前段の技術要素は上記同様）:
    • 情報準備: T1588/1598（OSINT/Phishing for Information, PRE-ATT&CK領域に相当）
  • 影響: 技術的被害に留まらず、意思決定や世論形成にじわりと効いてきます。

総じて、キャンペーンの継続性・即時性は高く、攻撃者のオペレーションは“人手の律速”をAIで緩める方向に進んでいます。防御側も、単一レイヤの強化ではなく、「メール基盤×Web誘導×ID保護×EDR×脅威インテリジェンス共有」の束を、演習で結束させる設計が必要です。

セキュリティ担当者のアクション

現場で効くものから。IoCが流動的な局面ゆえ、コントロールの質を上げる方が長持ちします。

• メールとドメインの“土台固め”

  • 強制DMARC（p=reject）/SPF/Aligned DKIM、MTA-STS/TLS-RPTのフルセットを適用します。供給網・主要取引先からの例外運用を棚卸し、なりすまし面の“穴”をゼロに近づけます。
  • 会話スレッド乗っ取り対策として、返信チェーン内の新規外部リンク・添付に対するサンドボックス/URLリライト強度を引き上げます（信頼ドメインでも初回は制限）です。
  • Newly Registered Domains（NRD）や短寿命ドメイン、リダイレクト多段（例: 3跳以上）の到達制限を導入します。偽Captcha・ゲーティング回避に有効です。

• アイデンティティと認証セッションの強化

  • FIDO2/WebAuthnによるフィッシング耐性MFAを“標準”にします。IMAP/POP/旧式MFA/アプリパスワードを段階的に廃止します。
  • 条件付きアクセスで地理・デバイスリスクに応じたステップアップ認証を適用します。Cookie再利用対策として、サインイン頻度・トークンライフサイクルを見直します。
  • メール・コラボ基盤のOAuthコンセント監査を定例化し、未知のクライアント/権限昇格を即時はく奪します。

• Web・エンドポイントの“連携検知”

  • プロキシ/セキュアWebゲートウェイで、カテゴリ「成人・ギャンブル・新規登録・未分類」は初回アクセスを隔離実行/SaaSブラウジングに強制します。
  • EDRでPowerShell/ScriptHostの子プロセス連鎖、LNK/ISO/JS/HTA経由実行、ブラウザDBアクセス（Login Data/Cookies等）への不審アクセスを高感度で検知します。
  • URLリライト/サンドボックスのログとEDRのプロセスツリーを相関し、「クリック→スクリプト→ブラウザDB→外向きHTTPS」の短時間連鎖をアラート化します。

• フィッシング教育の“前提更新”

  • 「日本語/ウクライナ語/英語の文法が自然＝安全」とは限らない前提を浸透させます。完璧な言い回しの“自然さ”は、むしろ生成AIのシグナルにもなり得ることを啓発します。
  • 従来の例題に加え、業務文脈に過度に寄せた“良問”を使い、スレッド内の新規リンク・外部共有ドライブ誘導・Captchaゲートなどを重点訓練します。

• サプライチェーンの“見取り図”を更新

  • ウクライナ関連で業務の接点がある外部組織（物流、NGO、欧州拠点、金融/保険、リーガル/会計）を洗い出し、メール相互認証（DMARC alignment）と安全なファイル交換メカニズムを合意します。
  • 重要パートナーに対し、IMAP/POP無効化・FIDO2化・DMARC適用の“最低共通要件”を打診し、相互にチェックします。

• インテリジェンスと演習

  • MISP/TAXII/ISAC等で、偽Captcha/成人系偽サイト誘導のインフラ特徴（TLD、ASN、ホスティングの“短寿命・多産”パターン）を共有します。
  • ATT&CK準拠の侵害想定演習（T1566→T1204→T1059→T1555.003→T1041）をメール・ID・EDR・ネットワークの各担当と合同で実施し、検知から封じ込めまでの時間短縮を測定します。

• 可視化すべきKPI（短期）

  • 外部発メールのNRD比率、リダイレクト3段以上の到達率（ブロック率）です。
  • 返信チェーン内の新規外部リンク踏破率、フィッシング耐性MFAの採用率、IMAP/POPアクセスの完全停止率です。
  • ブラウザ資格情報アクセス→外向きHTTPS（未知先）までの平均時間と検知率です。

最後に、メトリクスが示すとおり本件は「すぐ来る・当たる・影響は大きい」性質が強い一方、典型的なIOCの寿命は短く、従来型のブラックリスト運用は追随コストが嵩みます。攻撃者がAIで“量と速度”を手にしたなら、防御側は“土台の信頼と相関”で受け止める設計に切り替えるべきです。今日のうちに、メールとIDの基本設定を棚卸し、偽Captcha/多段リダイレクトを想定した検知の穴を一つ、二つと埋めていきたいところです。