APT28の認証情報窃取がエネルギー・政策機関を直撃──トルコ語ローカライズのフィッシングでNATO周縁を揺さぶる

今日の深掘りポイント

• ロシア系APT28が、トルコのエネルギー・核研究、欧州シンクタンク、北マケドニアやウズベキスタン関係者を狙い、トルコ語ローカライズのフィッシングで認証情報を収集しています。コストの低い基本手法で、優先ターゲットに確実に触れるやり方です。
• 初動にマルウェアを伴わない「薄い侵入」が中心のため、EDRを素通りしやすく、ID・メール・クラウドの可視化が勝負になります。
• 地政学（エネルギー安全保障と政策形成）に密着した選別的標的化。単なる「広域フィッシング」ではなく、言語・文脈を精密に合わせることで成功率を底上げしているのが肝です。
• すぐに効く現実解は「フィッシング耐性MFA（FIDO2）」「OAuth同意の強制管理」「メール・IdP・CASBの横断相関」。導入済みでも設定の“解像度”が問われます。
• いま起きているリスクに対して確度・即応性ともに高い局面です。既知手口ゆえに対処の余地は広い一方、従来運用の“ほころび”を突かれやすいです。

はじめに

報道によれば、ロシアの国家支援グループAPT28（別名：Fancy Bear、STRONTIUM、Microsoft命名のForest Blizzard）が、トルコのエネルギー・核研究機関、欧州のシンクタンク、北マケドニアやウズベキスタンに関係する個人を狙い、トルコ語コンテンツで信頼性を装ったフィッシングページを用いて認証情報を奪取するキャンペーンを展開しています。少なくとも2025年2月と9月の活動が観測され、ロシアの情報収集優先度に沿う対象が並んでいます。The Hacker Newsの報道が一次ソースを要約する形で伝えています。

APT28がロシア参謀本部傘下と結び付けられてきた経緯は、過去の米司法省の起訴状にも明確に残っています。2018年の起訴ではGRU第26165部隊（一般にAPT28と広く関連付けられる）が作戦的サイバー活動に関与した事実が詳細に示され、制度的な後ろ盾を伴う持続的な情報収集の性格が裏付けられています。米司法省 2018年発表。

深掘り詳細

事実整理（確認できる範囲）

• 対象領域は、トルコのエネルギー・核研究機関、欧州のシンクタンク、北マケドニア・ウズベキスタン関連の個人。攻撃は2025年2月および9月に観測があると報じられています。
• 手口は、トルコ語ローカライズで専門性・地域性に寄せたフィッシングページを用いた認証情報窃取。クリック先で資格情報を入力させ、正規サイトへリダイレクトして不審を抑える、古典的かつ洗練されたオペレーションです。
• 行為者はAPT28。国家の情報収集優先度と重なる対象選定が継続しています。
  出典: The Hacker News

参考までに、APT28が過去に示した「認証情報起点」のアグレッシブな運用として、Microsoftが2023年に公表したOutlookのゼロデイ（CVE-2023-23397）悪用事例が象徴的です。これはICS招待を利用してユーザー介在なくNTLMハッシュを奪い外部送信させるもので、Forest Blizzard（APT28）の関与が示されています。ソフトなフィッシングからハードなプロトコル悪用まで、目的が“ID奪取”で一貫している点が重要です。Microsoft Security ブログ（2023/03/24）

また、APT28の歴史的TTPはMITRE ATT&CKに体系化されており、スピアフィッシング（T1566.002）や有効アカウントの悪用（T1078）など、今回の流れと親和性が高い技術が並びます。MITRE ATT&CK: APT28 (G0007)

インサイト（何が“今”の脅威を強くするのか）

• 「薄い侵入」ゆえに検知はID面勝負
  侵入の初動が“フォーム入力”で完結するため、端末にアーティファクトを残しません。EDRの強度に関わらずすり抜けやすく、見張るべきはIdPのサインイン・トークン・同意（OAuth）・メールボックス操作といったクラウド側のテレメトリです。
• ローカライズで成功率を底上げ
  トルコ語コンテンツなど、言語・専門文脈への寄せは、警戒心を鈍らせます。大規模ばらまきではなく、地政学的焦点に沿う“マイクロターゲティング”で、少数当たりでも高い情報価値を抜く設計です。
• “ゼロデイ依存”ではなく“運用熟練度依存”
  本件は新奇なエクスプロイトではなく、運用の巧妙さ（誘導導線、ドメイン選定、タイミング、ロールアカウント狙い）で勝負するタイプです。つまり守る側の“運用のほころび”が結果を分けます。
• メトリクスからの示唆
  報道の文脈全体から、確度と即時性が高い一方で、技術的な新規性は限定的です。これは裏を返せば、組織側が短サイクルで是正可能な“設定・運用領域”に打ち手が集中する局面だということです。いま手を打てる範囲で成果を出しやすいフェーズにあります。

脅威シナリオと影響

以下は公開情報と既知のAPT28 TTPに基づく仮説シナリオです（仮説であり、個別事案の確定内容ではありません）。

• シナリオ1：ローカライズ・リンク型フィッシングからのクラウド侵入
  想定TTP:

  • T1566.002 Spearphishing Link（言語・専門性を寄せた誘導）
  • T1078 Valid Accounts（奪取したIDでM365/IdP/VPNへ）
  • T1550.004 Use of Web Session Cookie（AiTM型でMFA回避が併用される場合）
  • T1114.002 Email Collection via EWS/Graph（メールボックス吸い上げ）
  • T1071.001 Web Protocols（C2/データ搬出のカバー）
    影響: 政策形成の草稿・交渉文書、エネルギー需給や核研究関連の非公開レポートなどの流出。意思決定プロセスの攪乱、対外交渉の不利化。

• シナリオ2：資格情報の再利用・スプレーを絡めた横展開
  想定TTP:

  • T1110.003 Password Spraying（同アカウントの別SaaS/VPNへの再試行）
  • T1078.004 Valid Accounts: Cloud Accounts（クラウド側での持続的侵害）
  • T1556.006 Modify Authentication Process: IdP Policies（認可緩和やMFA例外の悪用が起き得る）
    影響: メール以外のSaaS（SharePoint/OneDrive/Confluence）やVPNからの資料取得、サプライヤ・委託先への波及。

• シナリオ3：メールを踏み台にした“静かな”長期滞在
  想定TTP:

  • T1114 Mailbox Rule（自動転送/隠蔽ルールで気付かれにくくする）
  • T1021.001 Remote Services: RDP/VPN（IT→OTへは直結しないが、運用資料や認証情報から迂回路を探索）
    影響: 長期にわたる情報優勢の確立。OT直接侵入は仮説段階でも、IT側の情報からOT関連の弱点（手順書、接続経路、連絡網）を描けるリスク。

国家安全保障上の含意として、NATO周縁のエネルギー・政策領域で情報の非対称性が拡大し、交渉や規制形成にまで波紋が及ぶ可能性があります。攻撃が“静かに成果を積み上げる”タイプであるほど、気付いた時には巻き戻しが難しいのが最大の怖さです。

セキュリティ担当者のアクション

“すぐ効くこと”と“後回しにしがちだが効くこと”を交ぜて、優先度順にまとめます。

• 直ちに（0–7日）

  • フィッシング耐性MFAへ切替のロードマップ明文化。少なくとも管理者・高特権・外部公開アカウントはFIDO2/WebAuthnへ、SMS/音声OTPは停止します。
  • IdPとメールの監視強化。重点KPIは「新規/不審デバイスの同時多地域ログイン」「EWS/Graphの大量アクセス」「Mailboxルール新規作成」「Impossible Travel」。閾値とアラート担当を即時合意します。
  • OAuth同意の強制管理。ユーザーの自己同意を禁止し、管理者承認制＋既知カテゴリのみに限定します（“Illicit Consent”抑止）。
  • メール流通の基本衛生：SPF/DMARC（p=reject）/DKIMの有効化状態を棚卸しし、外部送信ドメインの「なりすまし可能性」を潰します。MTA-STS/TLS-RPTの適用も検討します。
  • Lookalikeドメイン観測を開始。CTログ（例：crt.sh）やdnstwist等で自組織・業界関連のIDN含む類似をウォッチし、ブロックリストへ反映します。

• 短期（8–30日）

  • メールセキュリティの言語対応強化。トルコ語や対象地域の言語での自然言語フィルタ・ブランド詐称検知を拡張し、SOARで封じ込めフローを自動化します。
  • クラウドDLPとダウンロード制御。EWS/Graph経由のエクスポート量やOneDrive/SharePointの大量ダウンロードを制限・要承認化し、例外フローを整えます。
  • 条件付きアクセスの“解像度”を上げる。リスクベース認証（匿名VPN/新規ASN/非常設国→強制MFA/ブロック）、特権は専用端末＋CA必須。
  • ロールアカウントと共有メールボックスの再点検。認可スコープ・転送設定・API権限の最小化、監査ロギングの粒度向上。

• 中期（1–3か月）

  • アイデンティティ・テレメトリの統合相関（SIEM+UEBA）。EDR/IdP/メール/プロキシ/クラウド監査の相互相関で、マルウェア非依存の侵入を捕まえる土台を作ります。
  • インシデント・プレイブックの整備と演習。アカウント侵害前提で「即パスワード・MFA再登録」「全セッション失効」「OAuthトークン・同意取り消し」「Mailboxルール一括削除」を自動化します。
  • OT/IT境界の再評価。直結を避けるのは当然として、IT側ID侵害からOT情報（手順・連絡網）への可視化漏れがないかレビューします。

最後に、APT28は“新奇さ”でなく“運用の上手さ”で成果を出す相手です。こちらも運用の質で対抗するしかありません。設定を1段掘り下げ、テレメトリを1段細かく、アラートを1段早くする——それだけで、今回のような“薄い侵入”の多くは跳ね返せます。今日の業務の中で、できるところから確実に前へ進めていきたいですね、というのが編集部からのメッセージです。

参考情報

• The Hacker News: Russian APT28 Runs Credential-Stealing Campaign Targeting Energy and Policy Institutes（2026/01/10）https://thehackernews.com/2026/01/russian-apt28-runs-credential-stealing.html
• Microsoft Security Blog: Guidance for investigating attacks using CVE-2023-23397（APT28/Forest Blizzard関連）https://www.microsoft.com/en-us/security/blog/2023/03/24/guidance-for-investigating-attacks-using-cve-2023-23397/
• MITRE ATT&CK: APT28 (G0007) https://attack.mitre.org/groups/G0007/
• U.S. Department of Justice: 2018年のGRU第26165部隊（APT28関連）起訴発表 https://www.justice.gov/opa/pr/grand-jury-indicts-12-russian-intelligence-officers-hacking-offenses-related-2016-election

注記：上記の脅威シナリオは、報道で示された事実と公開TTPに基づく仮説です。個別事案の確定情報は一次レポートの公開範囲に依存します。