サイバー脅威
2025年MITRE ATT&CK Evaluationにおける SHADOW-AETHER-015 と Earth Preta の主要インサイト:TrendAI Vision One™ による知見
本稿では、TrendAI™ Researchの監視活動やTrendAI Vision One™のスレットインテリジェンスから得た、攻撃者集団「SHADOW-AETHER-015」やAPTグループ「Earth Preta」に関する注目すべき最新の戦術・手法・手順について解説します。これらの知見は、2025年のMITRE ATT&CK EvaluationにおけるTrendAI™の性能を裏付けるものです。
- 2025年のMITRE ATT&CK Evaluation Round 7(ER7 2025)では、TrendAI Vision One™が統合セキュリティ運用プラットフォームとして達成した進歩が検証されました。本稿では、ER7 2025におけるTrendAI™の成果について考察します。
- 攻撃シナリオ1(Demeter)は、侵入手口「SHADOW-AETHER-015」に着想を得たとされる敵対的エミュレーションであり、最新のクラウド攻撃の複雑性を示しています。攻撃者は、侵害されたエンドポイントからクラウドインフラへと侵入し、不正に得た認証情報やトークンを用いて自身の攻撃活動を永続化させるほか、ハイブリッド環境での内部活動(情報探索)を実施して窃取した機密情報を大量に外部に送出させます。
- 一方、攻撃シナリオ2(Hermes)は、APTグループ「Earth Preta」に着想を得たとされるエミュレーションであり、フィッシング攻撃を起点とした巧妙な手口が浮き彫りとなりました。当疑似攻撃では、高度なローダや解析回避手法、内部活動、認証情報の詐取、情報窃取のほか、攻撃活動の痕跡を消去してフォレンジック調査や検出を困難にするためにクリーンアップを入念に実施する点に特徴があります。
- ER7 2025におけるTrendAIの成果は、セキュリティプラットフォームに対する現在のニーズと強く合致しており、ハイブリッド環境全体にわたってTrendAIの観測データ(テレメトリ)を自動的に相関させ、重要度別アラートを生成することができます。TrendAI Vision Oneは、本記事で取り上げた攻撃者集団に関連する侵入の痕跡(IoC)を検出し、実行を阻止します。また、TrendAI Vision Oneをご利用のお客様は、後述する「スレットハンティングクエリ」、「Threat Insights」、「Threat Intelligence Reports」にアクセスすることで、同攻撃者集団に対するプロアクティブなセキュリティ対策の実現につなげることができます。
本稿では、MITREの企業向けセキュリティ製品評価プログラム「MITRE ATT&CK Evaluation Round 7(以降、ER7 2025)」にて実施された2つの敵対的エミュレーションでTrendAI™ Researchが観測した注目すべき最新の戦術・手法・手順(Tactics、Techniques and Procedures:TTPs)の検証結果をお伝えします。これらのエミュレーションでは、標的型攻撃の中でもAPTに分類される攻撃者集団「Earth Preta(別称:Mustang Panda)」や、侵入手口「SHADOW-AETHER-015(生成AIの悪用により作成された攻撃手法、高度なフィッシング攻撃、ソーシャルエンジニアリングなどを含む、最新の戦術・手法・手順を用いる特定の攻撃集団者の侵入手口に対してTrendAI Researchが付与した名称)から着想を得たとされる攻撃チェーンが用いられました。これらのエミュレーションでTrendAI Vision Oneが観測・分析・報告した疑似攻撃の手口(戦術・手法・手順)は、ER7 2025におけるTrendAI Vision One™の性能を裏付け、TrendAI™がDetection and Response機能の変革を担う信頼できるリーダーとして確立してきた地位を強化しています。
今回のER7 2025ではMITREのアプローチに進展があり、オンプレミスとクラウドの両環境を対象とした疑似攻撃に加えて、偵察(Reconnaissance)の戦術も組み込まれました。これにより、今日SOC(Security Operation Center)チームが実際に運用・管理しているハイブリッド環境へのサイバー攻撃が再現されただけでなく、エンタープライズツールを効果的に活用する必要性が浮き彫りとなりました。ER7 2025におけるTrendAI Vision Oneの成果は、Detection and Response機能の変革を担う信頼できるリーダーとしてのTrendAIの地位をさらに強固なものにしています。企業や組織は、TrendAI Vision Oneを活用することで、主要な攻撃手順の全段階にわたって、業界標準に準拠した最新の分析情報を網羅し、ER7 2025で評価対象となったすべての攻撃機会に対する保護対策やクラウドレイヤーにおける包括的な検出対応を実現できます。
MITREが実施した攻撃シナリオ1(Demeter)
クラウド環境(AWS)が評価対象の攻撃シナリオ1では、疑似攻撃の実行者(Demeter)がエンドポイントからクラウド環境に侵入した手口が明らかとなりました。同シナリオは、標的型フィッシングメールの送付から始まりました。Demeterは、管理されていないワークステーションにAiTM(Adversary-in-The-Middle)攻撃キットを用いて偽のSSO(シングルサインオン)ポータルを表示させ、同ポータルに入力された認証情報や多要素認証情報(OTP:ワンタイムパスワードなど)を詐取してクラウド環境への不正アクセスに用いました。これによりDemeterは、リモートデスクトップ接続(RDP)を介した不正アクセス、内部リソースの探索、Active Directoryの列挙、ネットワーク上の共有リソースの偵察が可能となりました。
次にDemeterは、AWSコンソールにアクセスし、セキュリティ機能による検出を回避しながらIAM(Identity and Access Management)ユーザ、S3バケット、VPC(Virtual Private Cloud)、コスト分析を列挙しました。その後、管理者権限を持つ新たなIAMユーザやEC2 Linuxインスタンスを通じて自身の不正活動を永続化させます。これによりDemeterは、AWSにおける機密情報(シークレット)やトークンの窃取が可能となるほか、SSHトンネリングやRMM(Remote Monitoring and Management)ツールを用いてLinux・Windowsシステム間での内部活動が可能となります。攻撃シナリオ1は、Demeterが内部システムのアプリデータやファイル共有データを自身の管理するS3バケットに同期させて大量に窃取し、外部送出させることで完了します。
このセクションでは、攻撃シナリオ1(Demeter)の展開手順について概説し、同疑似攻撃チェーン(初期侵入から情報送出まで)の主要な実行フローやインフラ間における相互作用、進行の流れをお伝えしました。
攻撃シナリオ1に関する段階別内訳(文脈、ツール、攻撃目的などを含む)については、MITREの公式サイトをご参照ください。
侵入手口「SHADOW-AETHER-015」を用いる攻撃者集団について企業や組織が把握すべき追加情報
攻撃シナリオ1は、侵入手口「SHADOW-AETHER-015」に採用された戦術・手法・手順から着想を得たと考えられます(以降、同侵入手口を攻撃者集団とします)。同グループは、適応力が高く、流暢な英語を用いたソーシャルエンジニアリングやヘルプデスクのスタッフを装った詐欺行為(ヴィッシング:音声通話によるフィッシング攻撃)で特に知られています。これらの要素は、企業や組織のサポート環境に自然と入り込めるようにする可能性があります。
同グループの攻撃活動は、認証情報を悪用したり、クラウド環境を侵害したりする点で特徴があります。さらに多方面から圧力を掛ける脅迫手法(機密情報の窃取、窃取した情報の暴露、ランサムウェア攻撃、クラウド/VMwareへの妨害工作、従業員への威嚇行為)でも知られています。攻撃者集団「SHADOW-AETHER-015」は、認証情報やアクセス管理システム(OktaやMicrosoft Entra ID(旧:Azure Active Directory)など)を主に狙っており、ソーシャルエンジニアリング、多要素認証疲労攻撃、トークンの詐取、AiTM攻撃(フィッシング手口)などを駆使して認証システムを通過します。認証情報を用いて不正アクセスした後、同グループは、正規の認証情報を用いてIAMの設定ミスや設定内容を改ざんするなどして、AWS、Azure、Google Workspaceを含むSaaS(Software as a Service)やクラウド環境全体にわたって内部活動・情報探索を実施します。
当初、同グループに関連する攻撃活動は、SIMスワップ攻撃やインターネット詐欺などが主流でしたが、後にクラウド/SaaS環境や企業や組織のIT環境から窃取したデータを暴露すると脅迫したり、時にはランサムウェアを展開したりして脅迫する手口にまで高度化させています(SaaSでの攻撃活動についてMandiant社が解説しています)。同グループは、暗号資産(仮想通貨)の窃取、乗っ取ったアカウントの取引、クラウド環境での長期的な攻撃活動(永続化)、ランサムウェアを攻撃手口として提供するRaaS(Ransomware as a Service)グループとの提携、窃取した大量のデータセットの取引など、収益源を多様化させています。
SHADOW-AETHER-015グループは、高価値かつ大きな影響を及ぼす侵入活動に注力する攻撃者集団であり、膨大なデータを保有し、IT運用が複雑で、ダウンタイムへの耐性が低い企業や組織を継続的に標的としています(同グループについてMandiant社が解説しています)。被害者リストから同グループは、クレジットカード情報、旅行履歴、医療情報、ロイヤルティ関連情報を大量に有する業界を重点的に狙っていると考えられます。
同グループの攻撃活動は、通信事業者やBPO(ビジネス・プロセス・アウトソーシング)プロバイダに影響を及ぼしています。また、企業や組織のIT環境に対する特権アクセスを得るために技術系SaaSプラットフォームやIDプラットフォームを侵害しているほか、ホスピタリティ業界やゲーム企業への侵入活動も目立っています。さらに金融・保険会社、航空・旅行事業者、MSP(マネージドサービスプロバイダ)やIT企業なども標的となっています。
SHADOW-AETHER-015グループは、英語圏(米国、英国、カナダ、オーストラリアなど)で最も攻撃活動を活発化させているほか、インド、シンガポール、タイ、ブラジルにも被害を及ぼしています。
同グループが組織的に行った最初の攻撃活動は、2022年3月から7月にかけて展開されたフィッシング攻撃キャンペーン「0ktapus」とされていますが、それ以前にSIMスワップ攻撃などの攻撃活動を行っていた可能性がある点にご留意ください。
同グループの経緯(図1)から、技術面における高度化や攻撃作戦における野望の両面で急速な変化が見て取れます(これらについて、サイバーセキュリティ企業「Quorum Cyber社」とSANS社が解説しています)。
MITREが実施した攻撃シナリオ2(Hermes)
攻撃シナリオ2は、悪意ある文書ファイルの添付されたフィッシングメールの送付から始まり、パスワードで保護された不正アーカイブをメール受信者にダウンロードさせた後、最終的にローダ型マルウェア「ORPHEUS」をサイドロードする不正ショートカットファイル(.lnk)を実行させるというものでした。
このローダは、解析を回避するために確認作業を実施します。そして、信頼されたプロセス内に自身を注入した後、メモリ内にシェルコードを読み込み、遠隔操作(C&C)サーバとの暗号化通信を確立します。次に攻撃者は、ホストコンピュータやネットワークを探索し、リモート実行機能を用いて内部活動・情報探索を実施し、より高い権限を持つシステム上にリモートコマンドインターフェースを確立します。
認証情報の窃取は、ディレクトリサービスのデータベースやレジストリハイブの抽出によって達成されます。窃取された認証情報は、オフライン攻撃のためにステージングサーバに保存された後、外部に送出されます。その後、レジストリの実行キーやスケジュールされたタスクを通じて不正活動の永続化が確立され、不正アクセスが維持されます。攻撃者は、窃取した文書ファイルをファイル圧縮・圧縮ツールを用いて収集・圧縮した後、C&Cサーバの既存の通信経路を介してコマンドライン転送ツールでデータを外部に送出させます。
最後にクリーンアップスクリプトを実行し、確立した永続化の仕組みやディスク上での不正活動の痕跡を消去することで、フォレンジック調査や検出を困難にします。
このセクションでは、攻撃シナリオ2(Hermes)の展開手順について概説し、同疑似攻撃チェーン(初期侵入からクリーンアップまで)の主要な実行フローやインフラ間における相互作用、進行の流れをお伝えしました。
攻撃シナリオ2に関する段階別内訳(文脈、ツール、攻撃目的などを含む)については、MITREの公式サイトをご参照ください。
図2は、TrendAI Researchが確認したEarth Pretaグループのツールやインフラストラクチャ、主な戦術・手法・手順における注目すべき変化を時系列で示しました。
Earth Pretaグループについて企業や組織が把握すべき追加情報
攻撃シナリオ2は、中国を拠点とし、少なくとも2012年から活動しているAPTグループ「Earth Preta」に着想を得たと考えられます。Earth Pretaグループの活動は主に国家を背景とした情報収集を目的としていると推測されます。同グループは、政治・軍事に関するインテリジェンスの収集、長期的な戦略的状況把握、コミュニティの監視活動に注力し、直接的な金銭的利益よりも長期的なアクセスの確保や情報収集に重点を置いています。
同グループの攻撃活動は、アジア太平洋地域や東南アジア地域に特に集中しており、地域戦略上の利益が反映されていると考えられます。ただしEarth Pretaグループは、これらの地域を超えて活動する能力と意図も示しており、より広範な地政学的目標と合致する場合にヨーロッパ地域を含む別の地域へも攻撃範囲を拡大しています。
Earth Pretaグループの攻撃キャンペーンは、依然として政府関連機関が主な標的である一方で、エネルギー業、海事産業、インフラ業、製造業、通信業、運輸業などの戦略的産業分野へもしばしば攻撃範囲を拡大しています。これらの業界を標的とする姿勢は、国際関係における国家の立場を支える経済・産業・重要インフラに関わる情報に関心があることを示唆しています。
Earth Pretaグループは、長期的な不正アクセスや情報収集を可能にするインフラを慎重に選定しており、政府機関のネットワーク、企業や組織のIT環境、ドメインサービス・ファイルストレージ・内部通信を支えるシステムなどを重点的に狙っています。こうした標的の選定状況から、企業や組織の運営実態や戦略的意思決定プロセスを広く可視化できる環境を重視していることが窺えます。Earth Pretaグループの攻撃活動は、ツールの頻繁な更新や感染・永続化における柔軟な仕組み、戦術変更に対する積極的な姿勢を特徴としており、これらはすべて、同グループが膨大なリソースや高度な技術力を有し、長期的に攻撃活動を継続する意図を示しています。詳細は下表1をご参照ください。
同グループは時間の経過とともに多くの別称(Bronze President、TA416、RedDelta、HIVE0154、Stately Taurusなど)を採用してきました。これらは、運用上のブランド変更や帰属(アトリビューション)を判別しにくくするためと考えられます。
表1. APTグループ「Earth Preta」の攻撃キャンペーンから観測された主な事例のタイムライン
詳細はこちらをご覧ください。
MITRE ATT&CK Evaluationの結果
TrendAIは、ER7 2025における2つの攻撃シナリオで高度な検出機能や対応範囲を示しました。TrendAIのパフォーマンスや検出機能に関する詳細は、2025年12月14日公開記事にてご確認いただけます。
MITRE ATT&CK Evaluationは、業界標準となる脅威情報に基づいたフレームワークを提供しており、攻撃活動における挙動や手法、戦術を把握する際に役立ちます。これらの評価基準により、企業や組織は、以下のことが可能になります。
- 実世界の攻撃シナリオにおけるセキュリティソリューションの実性能の判断
- Detection and Response機能における改善点の特定
- 攻撃者集団が用いる最新の攻撃手口や脅威動向の把握
TrendAI Vision Oneのような統合セキュリティ運用プラットフォームは、主要な攻撃手順全体にわたって重要度別アラートを適切に生成・統合することで、Detection and Response機能だけでは検出が難しい脅威の特定を運用レベルで自動化します。これにより、アナリストの負担を軽減したり、攻撃者の主要な不正活動を見落とすことなく、ご利用環境の可視化に必要な情報が十分に提供されます。
TrendAI Vision Oneをご活用いただくことで、以下のことが可能となります。
- 企業や組織のネットワーク、システム、インフラ内における情報探索・実行処理を試行する攻撃活動を監視・追跡します。
- 攻撃ライフサイクルの可能な限り早い段階で脅威を検出し、実行を阻止します。
- MITRE ATT&CKフレームワークに関連付ける形で脅威に関する実用的な洞察を提供し、SOCチームが脅威をより深く理解し、対応できるようにします。
ER7 2025におけるTrendAIの成果は、セキュリティプラットフォームに対する現在のニーズと強く合致しており、ハイブリッド環境全体にわたってTrendAIの観測データ(テレメトリ)を自動的に相関させ、重要度別アラートを生成することができます。これは、重大なイベントの詳細を説明するために複数のデータソースを統合する必要が生じた場合に特に役立ちます。MITREが提供する洞察は、TrendAI Vision Oneプラットフォーム全体で進行中の機能強化とも整合しています。
企業や組織は、定期的にMITRE ATT&CK Evaluationを確認することが推奨されます。また、TrendAI Vision Oneなどのプラットフォームを活用して、企業や組織のDetection and Reponse機能の対象範囲を関連付けて改善点を特定し、セキュリティ体制を継続的に強化する必要があります。
TrendAI Vision Oneスレットインテリジェンス
TrendAI Vision Oneをご利用のお客様は、高度化する脅威に先手を打つために、TrendAI Vision One内で提供される各種インテリジェンスレポート(Intelligence Reports)とスレットインサイト(Threat Insights)をご活用いただけます。
Threat Insightsは、サイバー脅威が発生する前に講じるべき事前予防に役立つ情報の取得が可能となるソリューションです。セキュリティアナリストは、脅威分析時に必要となる以下のような情報にアクセスいただけます。
- 新たな脅威情報
- 攻撃者集団に関する情報
- 攻撃者集団が用いる既知の戦術・手法・手順(TTPs)やこれまでに実施してきた不正活動に関する情報
- 共通脆弱性識別子(CVE)に関する情報
- 脅威のプロファイル情報
Threat Insightsをご活用いただくことで、お客様のデジタル環境の保護につながり、結果としてセキュリティリスクを軽減させ、サイバー脅威に効率的に対処するためのプロアクティブな対策を講じることができます。
TrendAI Vision Oneのアプリ「Intelligence Report」(IoC sweeping)
TrendAI Vision One Threat Actor Profiles
ハンティングクエリ
TrendAI Vision Oneの検索機能「Search」アプリ
TrendAI Vision Oneをご利用のお客様は、検索アプリにお客様の環境内のデータを用いることで、本稿で言及されている悪意のある指標をマッチングまたはハントすることができます。
TrendAI Vision Oneをご利用中で、「Threat Insights」が有効となっている場合、より多くの脅威ハンティングクエリをご確認いただけます。
参考記事:
Key Insights on SHADOW-AETHER-015 and Earth Preta from the 2025 MITRE ATT&CK Evaluation with TrendAI Vision One™
By: Trend Micro
翻訳:益見 和宏(Platform Marketing, Trend Micro™ Research)