Scan PREMIUM Monthly Executive Summary は、大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理にたずさわる方々や、事業部長、執行役員、取締役、経営管理、セキュリティコンサルタントやリサーチャーに向けて毎月上旬に配信しています。
前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的としており、分析を行うのは株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏です。Monthly Executive Summary の全文は昨日朝 6 時 1 分に配信した Scan PREMIUM 会員向けメールマガジンに掲載しています。
>>Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針
>>岩井氏 インタビュー記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」
【1】前月総括
2026 年 6 月は、インターネット境界機器や広域ネットワークの集中管理基盤が、改めて重要な攻撃対象であることを示す報告が相次ぎました。FortiGate を起点に大量の認証情報を収集した「FortiBleed」では、侵害した機器上で通信を受動的に捕捉し、得られた認証情報を Active Directory やデータベース、共有領域などへの横展開に再利用する循環型の攻撃基盤が明らかになりました。また、Cisco Catalyst SD-WAN Manager を標的とした攻撃では、侵害済み管理者アカウントとゼロデイ脆弱性を組み合わせて root 権限を取得し、広域ネットワークの構成情報を窃取した上で、変更した設定や認証情報を元に戻すなど、検知回避を強く意識した活動が確認されています。
これらに共通するのは、境界機器を単なる「侵入口」としてではなく、認証情報、通信、ネットワーク構成、後続侵入先を獲得するための戦略的な「観測拠点」として利用している点です。IAB(Initial Access Broker)によるアクセス権販売、ランサムウェア活動、国家支援型アクターによる長期的な情報収集や有事準備など、最終目的はそれぞれ異なり得ます。しかし、VPN、ファイアウォール、SD-WAN 管理基盤などに侵入し、正規アカウントや管理機能を悪用して次の標的へ進む構図は共通しています。特に、詳細なフォレンジックが難しいネットワーク機器が狙われていることを踏まえると、防御側は脆弱性管理だけでなく、管理アカウントの利用履歴、設定変更、peering、SSH 接続、異常な認証情報利用まで含めた監視が必要です。
加えて注目したいのは、脅威アクターを既知の名称だけで捉えることが難しくなっている点です。中国語圏のサイバー犯罪活動では、「SilverFox」という名称がマルウェア群として使用されていることに対して、西側諸国においては脅威アクターや活動クラスタなどの異なる意味で使われているケースが散見されています。実際、SilverFox は中国国内のサイバー演習でも使用される Gh0st RAT 由来のマルウェアであることが知られており、特定の脅威アクターと紐づけるには少々無理があるように見えます。
一方、北朝鮮関連活動でも、Kimsuky 関連事例で頻繁に観測される LNK ファイル起点の手法と、Andariel 関連事例で報告されてきた Xctdoor が同一の攻撃チェーン上に現れました。ツール共有、共通開発基盤、任務分担に加え、国家情報局(旧・保衛省)等の組織再編が進めば、既知アクター名への単純な帰属は一層難しくなります。今後は名称ではなく、インフラ、TTP、マルウェアファミリー、標的、運用時系列を分離して評価する必要があるのではないでしょうか。
