主なポイント

✓ TGR-STA-1030は、過去1年間で37カ国の政府機関を侵害したサイバー諜報グループです。
✓ このグループはフィッシング攻撃やエクスプロイト手法を駆使しており、特に経済的な関係を持つ国々を狙っています。

社会的影響

! このようなサイバー攻撃は、国家の安全保障や国際関係に深刻な影響を及ぼす可能性があります。
! 特に、重要なインフラが狙われることで、国民生活や経済活動に直接的な影響を与える恐れがあります。

編集長の意見

TGR-STA-1030の活動は、国家間のサイバー戦争が進行中であることを示しています。特に、アジア地域における国家に関連するサイバー攻撃は、国際的な緊張を高める要因となるでしょう。このグループは、フィッシングやエクスプロイト手法を駆使しており、特に経済的な関係を持つ国々を狙っている点が注目されます。フィッシング攻撃は、サイバー攻撃の中でも比較的容易に実行できる手法であり、特に政府機関をターゲットにすることで、国家の機密情報を狙う狡猾な戦略が見受けられます。また、彼らが使用するマルウェアは、従来の手法に加え、環境依存性を持たせることで、サンドボックス分析を回避する巧妙さを持っています。今後、国家間のサイバー攻撃はますます増加することが予想され、各国は防御策を強化する必要があります。特に、政府機関はフィッシング攻撃に対する教育を強化し、セキュリティ対策を見直すことが求められます。さらに、国際的な協力を通じて、サイバー攻撃に対する共通の防御策を構築することが重要です。これにより、国家の安全保障を強化し、国際的な信頼を築くことができるでしょう。

解説

37カ国侵害・155カ国偵察――Unit 42が暴いた「TGR-STA-1030」長期スパイ作戦の実像

今日の深掘りポイント

侵害（37カ国）と偵察（155カ国）の「広く探り、深く刺す」ファネル型オペレーションが示す持久戦志向です。
標的は省庁・国境管理・重要インフラ。経済関係が深まる国を優先するという政治経済シグナルに沿った選好性が見えます。
初期侵入はフィッシングとエクスプロイトの併用。環境依存や検出回避が用いられる可能性が高く、振る舞い検知の成熟が鍵です（後述は仮説を明示します）。
多地域同時展開は、選挙・エネルギー・外交領域に波及し得る中長期インテリジェンス収集を狙ったものです。
現場はIOCの機械的適用に加え、ATT&CK軸のハンティング仮説で「第三国経由C2」「新規ドメイン偏重」「政府メールからの返信誘導」などの行動シグナルを監視強化すべき局面です。

はじめに

Palo Alto Networks Unit 42が新たに名付けたアジア拠点のスパイグループ「TGR-STA-1030」は、過去1年で37カ国の政府・重要インフラを侵害し、155カ国に偵察をかけたと公表しました。対象は省庁や国境管理機関が中核で、経済的パートナーシップを模索する国を優先的に狙うといいます。攻撃はフィッシングとエクスプロイトの合わせ技で、使用ツールやインフラの詳細が整理されています。影響を受けた組織への責任ある開示も実施済みとのことです。一次報告の粒度は高く、信頼性の高い警鐘として受け取るべき内容です［出典: Unit 42］。

本稿では、事実関係を踏まえつつ、CISO・SOC・Threat Intelの視点で、どこに備えの肝があるのかを具体化します。メトリクスが示す「緊急度・実行可能性ともに高め」という全体像を前提に、今日から動ける優先順位を提案します。

深掘り詳細

事実関係（一次報告で確認できること）

アジア拠点のスパイグループ「TGR-STA-1030」をUnit 42が追跡・公表しています。
過去1年で37カ国の政府・重要インフラ組織で侵害を確認し、155カ国で積極的な偵察が観測されています。
標的の中核は政府省庁と国境管理機関。経済的パートナーシップを模索・強化する国を優先的に狙う傾向が示されています。
手口はフィッシングとエクスプロイトの併用で、使用ツールとインフラがレポートで解説されています。
影響組織には責任ある開示で通知と支援を提供しています。
出典（一次情報）: Unit 42「Shadow Campaigns: Uncovering Global Espionage」［参考リンクを参照］です。

出典: Unit 42: Shadow Campaigns — Uncovering Global Espionage です。

編集部のインサイト（仮説は明示）

偵察155カ国に対し侵害37カ国という比率は、地理的・政策的に広域で足場探しを続けつつ、条件が整った環境に深く定着する「ファネル型」の運用思想を示唆します。これは単発の短期作戦ではなく、長期の情報優位を狙う戦略の典型です。
国境管理機関へのフォーカスは、移動・身元・渡航許可といった高価値データを狙い、対人（HUMINT）や制裁回避の足がかりにする意図が考えられます（仮説）。ここを押さえると、外交・治安・経済交渉のシグナルが一気通貫で見えるようになります。
「経済的パートナーシップを模索する国」を優先するという点は、サイバー作戦が経済外交の時間軸と同調していることを示すものです。投資・資源・インフラ交渉が進むタイミングは、情報収集活動のピークとなりやすいです。
技術面では、フィッシング＋エクスプロイトの複合は、メール防御をすり抜けた後に境界製品や公開アプリの脆弱性で横から入る二重化を意味します。加えて、近年の国家系では環境依存判定や仮想化検知などの回避技術が一般化しています。本件で特定の回避技術が使われたかは一次報告の精査が必要ですが、SOCは振る舞い・相関検知へ主軸を移す前提で備えるべきです（仮説）。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。一次報告の事実（標的・手口の大枠）に基づき、現場のハンティング設計に役立つ形で構成します。

国境管理・出入国システムへの長期潜伏
- 想定価値: 渡航記録、監視リスト、文書発給プロセスの把握・改竄の可能性
- 典型TTP（仮説）:
  - Initial Access: Spearphishing Attachment/Link（T1566系）、Exploit Public-Facing Application（T1190）
  - Execution: User Execution（T1204）、Command and Scripting Interpreter（T1059）
  - Privilege/Defense: Credential Dumping（T1003）、Obfuscated/Compressed Files（T1027）、Masquerading（T1036）
  - Persistence: Scheduled Task/Job（T1053）、Registry Run Keys/Startup（T1547）
  - Discovery/Lateral: System/Network Discovery（T1082/T1046）、Remote Services（T1021）
  - C2/Exfil: Web Protocols over HTTPS（T1071.001）、Exfiltration Over C2 Channel（T1041）
- 影響: 国際捜査連携や査証審査の信頼性毀損、人物同定の遅延・誤判別です。
省庁ネットワークを介した外交・経済交渉の先読み
- 想定価値: 交渉文書、ブリーフィング、海外公館との公電
- 典型TTP（仮説）:
  - Valid Accounts（T1078）による静かな再侵入、Exfiltration to Cloud Storage（T1567.002）のような目立たない持ち出し
- 影響: 交渉アジェンダの先取り、対外ポジションの不利化、レピュテーション毀損です。
重要インフラ関連企業のIT→OTブリッジ偵察
- 想定価値: OT境界のトポロジ、遠隔監視系の認証情報
- 典型TTP（仮説）:
  - Remote System Discovery（T1018）、Pass the Ticket/Hash（T1550/T1075）による横展開
- 影響: 即時破壊ではなく、将来の圧力装置としての滞在可能性です。
第三国経由のC2・プロキシ化で帰属撹乱
- 想定: 新規登録ドメインとクラウド/ホスティングのホッピング、住宅系プロキシの併用
- 典型TTP（仮説）:
  - Proxy（T1090）、Fallback Channels（T1008）
- 影響: フィルタリング回避と封じ込め遅延、外交的な非難の難度上昇です。

総じて、本件は「広域偵察→政策重要国に深い潜伏→外交・経済・治安の接点データを継続収集」というシナリオで理解するのが現実的です。短期の可用性被害より、長期の意思決定優位を狙うタイプの脅威です。

セキュリティ担当者のアクション

48時間以内（即応）
- Unit 42が公開したIOC・インフラ情報の取り込みとテレメトリ再評価を行うことです。メール/プロキシ/EDR/NSMに横断適用し、過去90日のログでレトロハンティングを回してください［出典リンク参照］。
- メール踏み台対策を強化します。外部からの返信誘導（reply-chain）やHTML/Link型のスピアフィッシングに対し、URLリライト後の最終遷移先とタイムライン（登録からの経過日数）を相関させ、登録14日以内ドメインへのクリックを高リスクに分類します。
- 新規・短命ドメイン＋HTTPSの外向き通信を優先監視します。JA3/JA4などTLS指紋のスコアリングと、DNSのクエリ数・失敗率の異常検知を合わせ技にします。
2週間以内（短期強化）
- アイデンティティ強化です。高特権・要人アカウントはFIDO2/パスキーへ強制移行し、レガシープロトコル（IMAP/POP/基本認証）を遮断します。条件付きアクセスで国・ASN・デバイス健全性を束ね、異常時は段階的チャレンジにします。
- エンドポイントでの「振る舞い重視」の検知を有効化します。Office/Outlook/ブラウザからの異常プロセス子生成（wscript、rundll32、powershellの奇妙な引数）、LNK/HTA/ISO経路、スケジュールタスクの新規作成を高感度で拾います。
- サンドボックスはユーザ操作・時間遅延・環境チェックを模擬する高度化設定を適用します（本件で環境依存回避が使われたかは未確定ですが、国家系では一般化しているため予防原則で臨むべきです）。
90日以内（中期整備）
- ATT&CKマッピングでハンティング・検知・封じ込めの「プレイブック化」を行います。T1566/T1190/T1071/T1003/T1053/T1041などを軸に、ログ必要条件と相関ルール、封じ込めのSOPを棚卸しします。
- 国境管理・外交・エネルギーなどミッションクリティカル部門に対し、ネットワーク分離の見直し、特権アクセス経路のゼロトラスト化、データフローの最小化を進めます。特に外部委託先・第三国拠点との接続は再評価します。
- Threat Intel運用では、ベンダ命名の差異吸収のための「特徴量ベース（TTP・インフラ特性・ドメイン年齢・ASN）のタグ付け」を導入し、IOC単発に依存しないリスク判定を実装します。
ガバナンス・演習
- 外交・治安・経済政策のイベントカレンダーと連動した「サージ防御」体制（メール審査強化、臨時ルール、24/7監視）をスケジュール化します。
- 役所・公館・空港・港湾など、現場と本庁の合同インシデント演習を実施します。目標は「24時間での初動仮説提示」「72時間での封じ込め完了」「7日での対外説明可能な事実整理」です。

最後に、今回の一次報告は、信頼できる専門チームが広域で一定期間観測し、被害組織への通知も完了している点で、実務的な信憑性が高い材料です。対策は「いま持っている検知資産をATT&CKに沿って磨く」「アイデンティティを強くする」「外への道（DNS/TLS/クラウド）を賢く監視する」の三点に集約されます。深く、長く居座る相手に対して、粘り強く、可視化の解像度を上げていくしかありません。

参考情報

Unit 42: Shadow Campaigns — Uncovering Global Espionage https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/

背景情報

i TGR-STA-1030は、2024年1月から活動を開始したとされ、特にアジア地域における国家に関連するサイバー攻撃を行っています。彼らは、地域特有のツールやサービスを頻繁に使用し、ターゲットの国や省庁に関連する情報を狙っています。
i フィッシング攻撃では、政府のメールアドレスを狙い、偽のリンクを通じてマルウェアを配布しています。特に、エストニアの政府機関がこの攻撃を特定し、マルウェアを公にした事例があります。