【ITニュース解説】Amazon disrupts Russian APT29 hackers targeting Microsoft 365

作成日: 2025年09月03日更新日: 2025年09月05日

ITニュース概要

Amazonの研究者が、Microsoft 365のアカウントやデータを狙うロシアの国家支援ハッカー集団「Midnight Blizzard」（APT29）による攻撃活動を阻止した。

出典: Amazon disrupts Russian APT29 hackers targeting Microsoft 365 | BleepingComputer公開日: 2025年09月02日

ITニュース解説

今回のニュースは、ロシア政府が支援するハッカー集団「APT29」、通称「Midnight Blizzard」が、世界中の企業や政府機関で広く使われているクラウドサービスであるMicrosoft 365を標的にサイバー攻撃を仕掛けたものの、その活動がAmazonによって妨害されたという内容だ。まず、「APT29（Midnight Blizzard）」とは一体どのような組織なのかを説明する。これは、国家が背後にいるサイバー攻撃集団であり、その活動は単なる個人ハッカーの犯行とは一線を画している。彼らは高度な技術と潤沢な資金を持ち、特定の目的のために長期間にわたって執拗な攻撃を仕掛ける特徴がある。このような集団は「APT（Advanced Persistent Threat）」、つまり高度で持続的な脅威と呼ばれ、情報窃取やスパイ活動、時には妨害工作などを目的としている。今回の場合は、Microsoft 365のユーザーアカウントとその中に保存されている機密データを狙っていた。次に、なぜMicrosoft 365がこれほどまでに狙われるのかを考えてみる。Microsoft 365は、メール、文書作成ツール（Word, Excel, PowerPoint）、オンラインストレージ、チームコミュニケーションツールなど、ビジネス運営に不可欠な多様なサービスをクラウド上で提供している。そのため、多くの企業や組織が日々の業務に利用しており、機密性の高い情報や個人情報が大量に保存されている。ハッカー集団にとって、これらのデータは非常に価値が高く、一度アクセス権を奪取できれば、広範な情報窃取や、さらなる標的への足がかりとして利用できるため、格好の標的となるのだ。今回の攻撃でAPT29が用いた主な手口は、フィッシング攻撃だとされている。フィッシングとは、本物そっくりの偽のウェブサイトやメールを作成し、ユーザーを騙してパスワードやIDなどの重要な認証情報を入力させ、それを盗み取る手法だ。例えば、Microsoftからの正規の通知を装った偽のメールを送りつけ、パスワードの更新やセキュリティ警告の確認と称して、偽のログインページへと誘導する。ユーザーがそこで騙されて情報を入力してしまうと、その情報がそのまま攻撃者の手に渡り、Microsoft 365アカウントが不正に利用されてしまうのだ。このようにして盗み取った認証情報を使って、APT29は標的のMicrosoft 365環境への不正アクセスを試み、機密情報を探し出そうとしていた。攻撃者がフィッシングで得た認証情報を収集し、さらに不正アクセスしたシステムを遠隔から操作するためには、指令塔のような役割を果たすサーバーが必要となる。これを「Command and Control (C2) サーバー」と呼ぶ。APT29は、このC2サーバーを構築するために、AmazonのクラウドサービスであるAWS（Amazon Web Services）のインフラを悪用していた。AWSは世界中の企業にITインフラを提供する巨大なサービスであり、攻撃者はその一部を乗っ取るか、あるいは正規に借り受けたサービスを悪用してC2サーバーを運用していたと考えられる。 Amazonが今回の攻撃をどのように妨害したのか、その詳細も重要だ。Amazonは、APT29が悪用していた多数のドメイン（ウェブサイトのアドレス）が、Amazon Route 53というDNSサービスやAWSのウェブホスティングサービス上で運用されていることを特定した。そして、法的手段を用いてこれらのドメインを停止させる措置を取った。この一連の行為は「テイクダウン」と呼ばれ、悪用されているITインフラを無効化することで、攻撃者の機能を麻痺させることを目的としている。具体的には、攻撃者がフィッシングで窃取した認証情報を収集するための経路や、不正アクセスしたシステムに指令を送るための経路が遮断された。これにより、攻撃者は情報を効率的に収集したり、遠隔操作を行ったりすることができなくなり、結果として攻撃活動が大きく妨害されたのだ。Amazonが自社のサービスが悪用されていることを認識し、それに対して迅速かつ法的な措置を取ったことが、今回の攻撃阻止に繋がったと言える。今回の事例から、システムエンジニアを目指す初心者はいくつかの重要な教訓を得られる。まず、クラウドサービスのセキュリティがいかに重要か、ということだ。Microsoft 365のように多くの企業が利用するサービスは、それだけ高度な攻撃の標的となりやすい。サービスを提供する側も利用する側も、常に最新のセキュリティ対策を講じる必要がある。具体的には、パスワードだけでなく、スマートフォンでの認証や生体認証などを組み合わせる「多要素認証（MFA）」の導入は必須だ。これは、たとえパスワードが盗まれても、追加の認証がなければログインできないため、不正アクセスを防ぐ上で非常に有効な手段である。また、フィッシング攻撃のようなソーシャルエンジニアリングの手法は、IT技術の知識が乏しい人だけでなく、プロのエンジニアでさえも騙される可能性がある。不審なメールやウェブサイトには細心の注意を払い、安易に個人情報や認証情報を入力しない習慣を身につけることが極めて重要だ。ITインフラを提供する企業は、自社のサービスが悪用されないよう、常に監視体制を強化し、悪用が判明した場合には迅速な対応を取る責任がある。今回のAmazonの対応は、そうしたインフラ提供者の責任を果たす好例と言えるだろう。国家レベルのサイバー攻撃は非常に高度で持続的だが、適切な技術的対策と、関係機関や企業の連携によって、その脅威を軽減できることを示す事例でもある。 [文字数: 1897文字]