チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「ロシアのハッカー集団って日本にも影響あるの?」
「ステガノグラフィって画像にマルウェアを仕込む技術でしょ?本当にそんなことできるの?」
チップスボス!APT28ってロシアのハッカー集団が、PRISMEXっていう新型マルウェアでNATO同盟国を攻撃してるらしいでしゅ!ステガノグラフィとかクラウド悪用とか、やり口がハイテクすぎるでしゅ!
ボスAPT28は以前から日本を含む西側諸国を標的にしてきた。今回のPRISMEXキャンペーンは、スパイ活動と破壊活動の両方を兼ね備えている点が厄介だな。
2026年4月、Trend Microがロシア系APT28の新たなキャンペーンの詳細分析を公表しました。
ウクライナとNATO同盟国の政府・重要インフラを標的とし、画像ファイルにマルウェアを隠すステガノグラフィやクラウドサービスの悪用など、検知を回避する高度な手法が使われています。
この記事では、PRISMEXの攻撃手口を整理し、日本企業にとっての示唆を考えます。
APT28(別名Pawn Storm、Fancy Bear)は、ロシア軍参謀本部情報総局(GRU)との関連が指摘されている攻撃グループです。
このキャンペーンは2025年9月から活動が確認されています。
標的は多岐にわたり、ウクライナの中央省庁や防衛機関に加え、NATO加盟国の物流・輸送インフラまで含まれます。
新たに公開された脆弱性(CVE-2026-21509、CVE-2026-21513)の即時武器化も確認されており、パッチ適用の遅れが直接的な侵害につながる状況です。
チップス脆弱性が公開されたらすぐに攻撃に使うって…パッチが間に合わないでしゅよ。
ボスだからこそ「多層防御」が必要なんだ。パッチだけに頼らず、検知と封じ込めの体制も整えておけ。
PRISMEXが厄介なのは、複数の検知回避技術を組み合わせている点にあります。
攻撃は、スピアフィッシングメールから始まり、段階的にペイロードを展開します。
| 段階 | コンポーネント | 手口 |
|---|---|---|
| 初期侵入 | PrismexSheet | VBAマクロ付きExcelファイルでステガノグラフィにより画像内にペイロードを隠蔽 |
| 永続化 | PrismexDrop | COMハイジャックとスケジュールタスクで永続的なアクセスを確保 |
| C2通信 | PrismexStager | Filen.ioクラウドストレージをC2サーバーとして悪用し、正規通信に紛れる |
特にクラウドストレージをC2に使う手法は、通信先がブロックリストに載りにくいため、従来のファイアウォールでは検知が困難です。
さらに、2025年10月のインシデントでは、ユーザープロファイル配下の全ファイルを消去するワイパー機能も確認されました。
情報を盗むだけでなく、証拠隠滅や業務妨害も同時に実行できる設計です。
チップススパイ活動と破壊活動を一度にやるって、もう戦争レベルでしゅよね…。
ボスサイバー空間での作戦活動だ。日本も同盟国として無関係ではない。防衛・インフラ関係の組織は特に警戒すべきだな。
APT28のPRISMEXキャンペーンは、国家支援型攻撃の最前線を示す事例です。
標的がウクライナとNATO同盟国に集中している現状ですが、日本も西側諸国のひとつとして標的になり得ます。
防衛・物流・重要インフラに関わる組織は、Trend Microの分析レポートを参照し、自組織の監視体制と照らし合わせてください。
ボス国家の後ろ盾がある攻撃者に対抗するには、組織としての備えが不可欠だ。個人の努力だけでは足りない。
チップスまずは社内のマクロポリシーを確認してくるでしゅ!
