ロシアFSB関連のTurlaハッカーがフランスの省庁や大使館を標的に
フランスは、ロシアの連邦保安庁(FSB)に関連するTurlaという侵入セットが、政府や外交、防衛関連の組織を標的にした長期的なサイバー諜報活動を行っていると公に認定しました。この活動は2010年代から続いており、フランスの省庁や外交機関、防衛関連機関、司法機関、技術企業に影響を与えています。Turlaは、特にフランス国防省のメールアカウントを狙っており、国家の利益に対する悪意のある活動とされています。Turlaは、スピアフィッシングやゼロデイ脆弱性を利用して初期アクセスを得る手法を用いており、複数のマルウェアを駆使して高価値なネットワークに持続的に侵入しています。
メトリクス
このニュースのスケール度合い
インパクト
予想外またはユニーク度
脅威に備える準備が必要な期間が時間的にどれだけ近いか
このニュースで行動が起きる/起こすべき度合い
主なポイント
- ✓ Turlaは、フランスの省庁や大使館を標的にしたサイバー諜報活動を行っており、特に国防省のメールアカウントに対する攻撃が確認されています。
- ✓ フランスとEUは、この活動をロシアの国家的なスパイ活動の一環として非難し、サイバー攻撃に対する監視を強化する必要性を強調しています。
社会的影響
- ! このサイバー攻撃は、フランスの国家安全保障に対する脅威を高めており、国民の信頼を損なう可能性があります。
- ! EU全体でのサイバーセキュリティ対策の強化が求められており、国家間の協力が重要です。
編集長の意見
解説
仏政府がFSB系「Turla」の長期サイバースパイ活動を公式認定—省庁・在外公館・防衛組織のメールを狙う持続侵入です
今日の深掘りポイント
- フランス当局が、FSB(ロシア連邦保安庁)系とされる侵入セット「Turla」による、2010年代から継続する政府・外交・防衛セクターへのスパイ活動を公に認定したと報じられています。標的の中核はメール基盤と認証周りで、長期潜伏・静かな流出を志向する作戦です。
- Turlaはスピアフィッシングとゼロデイを組み合わせた初期侵入、Exchangeなどのメール・コラボ基盤への執拗な持続化、低目立ちの流出経路確保を得意としてきた実績があります(MITRE ATT&CKのG0010参照)。
- 欧州の対露抑止・制裁文脈での公式属性付け(attribution)は、NATO/EUの連携防御・制裁調整を加速させる圧力になります。外交・防衛・司法・ハイテクの各ネットワーク境界と認証基盤の同時監査が今すぐ必要な局面です。
- ハンティングの主戦場は「メール・アイデンティティ・Egress制御」。Exchangeのトランスポート拡張やメールルールの悪用、クラウドストレージ(例:Dropbox)経由のデータ流出、隠ぺい型C2(プロキシ/衛星/ピギーバック)の有無を系統的に洗うことが肝要です。
- 信頼性と発生確度が高い脅威像に対して、即応可能なアクション(IOC適用、メール基盤の完全監査、管理者アカウントのFIDO2強制、EWS/Graphのトークン可視化、Egress分離)を段階的に進めるべきです。
はじめに
国家が国家を覗き込む。それ自体は驚きではないのですが、フランスがFSB系Turlaによる長期作戦を「公に認定」した意味は軽くないです。サプライチェーンや在外公館を帯びた「静かな侵入」は、政策決定の前後に生じる微妙な揺らぎを的確に拾い上げ、交渉の一手先を読む材料に化けます。今回の一件は、欧州域内で続く情報戦がなお深化し続けている現実を、改めて可視化したと言えます。
現場の視点では、Turlaが選好するのは「メールと認証」。この2点に穴があると、侵入は長く、流出は静かに、そして検知は遅れがちになります。華々しいゼロデイの陰で、地味な設定の歪みや平凡な運用の甘さが、彼らの武器になってしまうのです。
深掘り詳細
事実:公的認定の骨子と既知のTurla像
- 報道によれば、フランス当局はFSB系のTurlaが政府・外交・防衛・司法・ハイテク組織を長期に標的としてきた事実を公に認定し、とりわけ国防省メールアカウントへの執拗な狙いが強調されています。初期侵入にはスピアフィッシングやゼロデイ利用が用いられ、複数マルウェアで持続的に滞在する手口です。参考
- MITRE ATT&CKは「Turla(G0010)」として定義しており、スピアフィッシング(T1566)、公開アプリ悪用(T1190)、クラウド経由の流出(T1567.002)、メール基盤悪用(T1505.003)などの幅広いTTPを整理しています。MITRE ATT&CK G0010
- 2023年には米当局が、FSB第16センターが開発・運用したとされるTurlaの中核マルウェア「Snake」に対して国際的なハンティングと無効化作戦(通称Operation MEDUSA)を実施し、技術的詳細とIOCを公開しています。これにより、Turlaの作戦が約20年にわたり世界的規模で展開されてきた実態が再確認されています。CISA Joint CSA(Snake)
- Turlaはメール基盤そのものを支配下に置く戦術の実績があり、Microsoft Exchangeのトランスポート機構に後部座席(バックドア)を差し込む「LightNeuron」や、Dropboxを流出経路に用いる「Crutch」など、運用上見落とされやすい経路を巧妙に選びます(研究機関・ベンダの技術分析に基づく)。また、C2の秘匿化として衛星通信を悪用した歴史的事例も確認されています。Kaspersky(Satellite Turla)
補足として、英国NCSCは2019年、Turlaがイラン系APTのインフラを乗っ取り偽旗的に利用した事案を公表しており、作戦上の隠蔽・攪乱に長けることも公的に裏付けられています。NCSC(イランAPTインフラの悪用)
インサイト:外交カレンダーと「メール・認証」偏重の意味
- 仮説ですが、Turlaが欧州の省庁・在外公館・防衛関連のメールを執拗に狙うのは、政策・調達・交渉の「未公表情報」が最も集約され、しかも攻撃面(アタックサーフェス)が部局間・国境間で非対称に拡大しやすい領域だからです。組織間の権限委任や転送ルール、外部委託の共有メールボックス、移行期の認証例外など、日々の運用の“継ぎ目”が狙われやすいです。
- メール基盤に後付けの拡張(トランスポートエージェント等)を潜ませ、流出はクラウド・正規プロトコル・スケジュール送信に寄せる。これにゼロデイ(公開アプリやビジネスアプリのRCE)での初期侵入を織り交ぜれば、EDRの盲点や監査の死角に長く潜れます。Turlaの価値観は「静かに長く」で、検知を遅らせることが最優先です。
- NCSCが示したように他勢力のインフラを転用する“ピギーバック”や、Kasperskyが明らかにした衛星C2のような異常経路は、フォレンジック上の誤認や帰属攪乱に直結します。つまり、IOC単独では決着がつきにくい領域が多く、TTPと運用痕跡の相関(Howで見抜く)が鍵になります。
脅威シナリオと影響
以下は、今回の公的認定の文脈を踏まえた仮説シナリオです。いずれもTurlaの既知TTP(MITRE ATT&CK G0010)と公開分析を根拠に構成しています。
-
シナリオ1:在外公館のメール掌握による交渉先読み
- 初期侵入: スピアフィッシング(T1566.001)
- 横展開: 既存資格情報の悪用(T1078)、PS Remoting/WMI(T1021.006/T1047)
- 持続化: Exchangeトランスポートエージェント/サーバコンポーネント(T1505.003)
- 流出: クラウドストレージ(Dropbox等)(T1567.002)、メール自体の自動転送ルール(T1114.003)
- 影響: 交渉立場・制裁案・渡航日程などの未公表情報が事前把握され、外交カードが削がれます。
-
シナリオ2:防衛調達サプライチェーンからの図面・契約情報の静的流出
- 初期侵入: 公開アプリ脆弱性の悪用(T1190)
- 横展開: ファイル共有/ADの列挙(T1087/T1069)、パスザハッシュ/トークン(T1550/関連)
- 防御回避: 署名済みバイナリの悪用(T1218)、正規トンネル(T1572)
- 流出: 正規Web/HTTPS(T1071.001)、時間分割・小容量化(T1030)
- 影響: 技術優位の喪失、価格・納期・数量の交渉不利化、第三国経由の転用リスクの増幅。
-
シナリオ3:司法・外交の交差点での“政策前夜”インテリジェンス
- 初期侵入: 水飲み場(T1189)や業務アプリの脆弱設定悪用
- 持続化: スケジュールタスク/サービス生成(T1053/T1543)
- 指揮統制: 隠ぺいC2(プロキシ/衛星/ピギーバック)(T1090/参考研究)
- 影響: 制裁発表・逮捕状・国際令状のタイミングが読まれ、回避・対抗措置の先回りを許します。
地政学的には、公式認定はNATO/EUの脅威共有・共同制裁の“法的・政治的地盤”を強化します。技術面では、メール基盤の監査と認証強化が各国・各機関で横串に走る契機になり、検知遅延の短縮が期待できますが、同時にTurla側の偽旗・迂回経路の深化も覚悟すべきです。
セキュリティ担当者のアクション
今日から現場で回せる順に並べます。メール・認証・Egressの三位一体で考えると筋が通ります。
-
48時間以内(即応)
- Turla関連の公開IOC/ルールを最新化し、メールサーバ(Exchange含む)、ゲートウェイ、Egress境界、EDRに適用します。CISAのSnake共同勧告のIOCや検出ヒントは横展開の起点になります。CISA AA23-129A
- Exchange/メール基盤の完全点検
- 予期せぬトランスポートエージェントやカスタムモジュールの有無(Get-TransportAgent等で棚卸し)。
- 受信箱ルールの一括監査(自動転送/削除/隠ぺいルール、外部転送先、重複ルール)。
- サービスアカウント/共有メールボックスの権限委任(SendAs/FullAccess/外部アプリ権限)の見直し。
- 管理者・高リスクアカウントの保護
- 管理系・メール系すべてにFIDO2/WebAuthnを強制し、レガシー認証(Basic/NTLM/POP/IMAP)の閉塞。
- EWS/Graph・SMTP Authの使用実体を可視化し、不要なトークン発行と長寿命リフレッシュを遮断。
- Egress最小化
- メール/ディレクトリ/EDR以外のサーバから直接インターネットへ出られないようネットワークセグメントで強制。
- サーバセグメントからのDropbox/Box/WeTransfer等への直通信をデフォルト拒否、例外はチケットで管理。
-
1〜2週間(短期強化)
- パッチと構成の同時ドリル
- 公開アプリ(OWA/ECP/EWS/リバースプロキシ)のN-dayを一掃し、構成逸脱(既定/無効化のまま)を是正。
- ドメイン内横移動の阻止(LAPS/LSA保護、RDP/SMB署名、Admin Tier分離、PS RemotingのJust Enough Administration化)。
- メール・DLP・プロキシの相互参照
- 大容量添付・暗号化添付・夜間/週末の外向き転送をユースケース化し、SIEMで相関ルールを作成。
- 送信ドメイン認証(SPF/DMARC/DKIM)の運用を強化し、転送・委任を伴う誤検知を抑えた上で、偽装を減らす。
- ハンティングの重点
- rundll32/Regsvr32の外向き通信、svchost以外プロセスの445/5985使用、Exchangeの不審DLLロード(TransportRoles配下)などのベースライン外を探索。
- MiniDump/COM+(comsvcs.dll)を通じた資格情報収集の使用痕、WMIサブスクリプションの新規作成を点検。
- パッチと構成の同時ドリル
-
30日計画(恒常運用)
- メール基盤の継続監査
- トランスポートパイプラインの変更差分を構成管理にバインドし、未承認変更を即時検知。
- 共有/委任/ルールの“期限付き”化(自動失効・棚卸し)と、外部転送の原則禁止。
- 攻撃面の縮小と可視化
- 管理プレーン用に隔離された“管理ブラウザ+踏み台”でSaaS/メール管理を実施し、業務端末からの直接管理を止める。
- 重要サブネットでのTLS復号の適切な設計(例外管理・プライバシー配慮)を行い、正規プロトコル悪用の検知力を底上げ。
- 協調と演習
- 政府・外交・防衛の横断的テーブルトップ演習を実施し、「メール侵害」起点の情報流出・虚偽情報拡散の複合事案に備える。
- ナショナルCSIRTや業界ISACとIOC/TTP共有の定常化。偽旗・迂回経路を前提に、検知は行動様式(TTP)で合わせる。
- メール基盤の継続監査
-
意思決定層への提言
- 予算はEDRやゲートウェイ単体に偏らせず、「メール基盤監査の自動化」「アイデンティティ保護(FIDO2/条件付きアクセス)」「Egress分離」の3本柱に配賦します。
- 対外的説明責任の観点から、attributionに関する社内基準(技術・運用・地政の三要素での確からしさ評価)を整備し、拙速な断定・誤認を避けます。
参考までに、今回のメトリクス(確度・信頼性・即応性が高く、肯定的インパクトは低い=防御側に重い負担がかかる)からは、短距離走ではなく「戦術の地固め」を先にやるべき局面と読めます。IOC適用だけで一安心せず、TTPベースの監査とメール・認証・Egressの三点一体での弱点潰しに投資するのが、最短で被害を抑える道筋です。
参考情報
- 報道(仏当局の公的認定): Russian FSB-Linked Turla Hackers Target French Government and Diplomats
- MITRE ATT&CK Group: Turla (G0010)
- 共同勧告(技術詳細/IOC): CISA Joint CSA “Hunting Russian Intelligence ‘Snake’ Malware”
- 作戦隠蔽の歴史的手口: NCSC “Turla group exploits Iranian APT infrastructure”
- C2秘匿の先進例: Kaspersky Securelist “Satellite Turla: APT Command and Control in the Sky”
背景情報
- i Turlaは、2004年からサイバー諜報活動を行っているグループであり、特にFSBの16番目のセンターに関連しています。彼らは、Windows、Linux、macOS環境に対して特注のインプラントと一般的な攻撃ツールを組み合わせて使用し、公式な通信や戦略的ネットワークへのアクセスを狙っています。
- i Turlaは、スピアフィッシングや水飲み場攻撃、脆弱なビジネスアプリケーションを利用して初期アクセスを得る手法を用いており、複数の脆弱性を連鎖させて持続的な侵入を実現しています。