【ITニュース解説】Blind Eagle’s Five Clusters Target Colombia Using RATs, Phishing Lures, and Dynamic DNS Infra

作成日: 2025年09月03日更新日: 2025年09月04日

ITニュース概要

Blind Eagleというサイバー攻撃集団が、2024年5月から2025年7月にかけ、コロンビア政府機関などを標的としたサイバー攻撃を仕掛けていた。遠隔操作ツールや偽サイトを使い、5つの異なるグループで活動していた。

出典: Blind Eagle’s Five Clusters Target Colombia Using RATs, Phishing Lures, and Dynamic DNS Infra | The Hacker News公開日: 2025年08月27日

ITニュース解説

「Blind Eagle」と呼ばれるサイバー攻撃集団が、2024年5月から2025年7月にかけて、コロンビア政府機関を主な標的とした大規模なサイバー攻撃活動を行っていたことが、サイバーセキュリティ研究者によって明らかにされた。この攻撃は「5つの異なる活動クラスター」として観測され、長期にわたり組織的に実施されていた点が特徴である。システムエンジニアを目指す者にとって、このような現実のサイバー攻撃事例を知ることは、セキュリティの重要性を理解し、将来のキャリアに役立てる上で非常に重要である。このニュースの中心にあるのは、「Blind Eagle」という脅威アクターである。脅威アクターとは、サイバー攻撃を仕掛ける個人や集団を指す言葉で、「継続的な脅威アクター（Persistent Threat Actor）」と表現される場合、単発の攻撃ではなく、長期間にわたって特定の目的のために活動し続ける組織的なグループであることを意味する。Blind Eagleは、まさにそのような特徴を持つ集団であり、その活動は一年以上にわたって継続的に監視されていた。攻撃の主な標的はコロンビア政府の各種機関であり、地方、市、そして連邦レベルといった広範な組織が狙われた。政府機関が狙われる背景には、国家機密情報、個人情報、経済データ、あるいは国の重要インフラの制御に関する情報など、多岐にわたる機密性の高い情報へのアクセスや、システムへの妨害を目的としている可能性が高い。これは、サイバー攻撃が単なる愉快犯的な行為ではなく、国家間の対立や経済的な利益追求といった、より深刻な背景を持つことがあることを示している。 Blind Eagleが用いた攻撃手法は、主に以下の三つである。一つ目は「RATs（Remote Access Trojans）」、つまりリモートアクセス型トロイの木馬である。トロイの木馬とは、一見すると無害なプログラムやファイルに見せかけて、実際にはコンピュータに侵入して悪意のある活動を行うマルウェアの一種である。RATは、その中でも特に、感染したコンピュータを攻撃者が遠隔地から操作できるようにする機能を持つ。攻撃者はRATを通じて、ターゲットのコンピュータ内のファイルを閲覧、変更、削除したり、キーボード入力を盗聴（キーロガー）したり、画面をキャプチャして情報を盗み見たりすることが可能になる。さらには、感染したコンピュータを他の攻撃の踏み台として利用したり、追加のマルウェアをダウンロード・実行させたりすることもできる。RATに感染すると、コンピュータが攻撃者の意のままに操られてしまうため、情報漏洩やシステム破壊といった甚大な被害につながる可能性が高い。二つ目は「Phishing Lures（フィッシング詐欺の誘い）」である。フィッシング詐欺は、古くから存在するが、今なお非常に効果的な攻撃手法である。攻撃者は、政府機関、金融機関、有名企業、あるいは同僚などを装った偽のメールやメッセージを送りつけ、ターゲットをだまして悪意のあるウェブサイトに誘導したり、不正なファイルをダウンロードさせたりする。今回のケースでは、「Lures（誘い）」という言葉が使われていることからも、非常に巧妙な手口でターゲットを誘い込み、RATをダウンロードさせたり、ログイン情報を盗み出したりしたと推測できる。例えば、公式な通知や緊急の連絡を装い、心理的なプレッシャーをかけて偽のリンクをクリックさせたり、偽のログインページで認証情報を入力させたりする。これは、技術的な脆弱性だけでなく、人間の心理的な弱みを突く「ソーシャルエンジニアリング」の手法を駆使した攻撃である。三つ目は「Dynamic DNS Infra（動的DNSインフラ）」の利用である。DNS（Domain Name System）は、インターネット上のウェブサイトやサーバーが持つ、人間には覚えにくいIPアドレス（例: 192.168.1.1）を、人間が覚えやすいドメイン名（例: example.com）に変換する役割を担うシステムである。動的DNS（DDNS）は、通常、IPアドレスが頻繁に変わる環境において、そのIPアドレスとドメイン名を常に自動的に同期させるサービスである。攻撃者がこの動的DNSインフラを利用する理由は複数ある。一つは、攻撃者が用いる指令サーバー（C2サーバー、Command and Controlサーバーと呼ばれる）のIPアドレスが変更されても、常に同じドメイン名でマルウェアと通信を継続できるため、攻撃の安定性と継続性を確保できる点である。もう一つは、攻撃サーバーの実際の物理的な場所を特定されにくくする効果がある点や、安価または無料で利用できるサービスが多いため、攻撃コストを抑えられる点も挙げられる。さらに、正規のサービスであるため、セキュリティ製品による検出を回避しやすい場合もある。これらの手法を組み合わせることで、Blind Eagleは長期にわたり、検出を困難にしながら攻撃を継続していたと考えられる。サイバーセキュリティ研究機関であるRecorded Future Insikt Groupは、このような攻撃活動の全容を明らかにし、その活動を「追跡」し、「特定」することで、他の組織や政府機関が同様の攻撃に対する防御策を講じるための貴重な情報を提供している。システムエンジニアを目指す皆さんにとって、このニュースから学ぶべきことは多い。まず、サイバー攻撃は常に進化しており、特定の技術的な脆弱性だけを突くのではなく、人間の心理を巧みに操るフィッシング詐欺のような手口も組み合わせてくることを理解する必要がある。また、攻撃者が自身の身元を隠し、追跡を困難にするために、動的DNSのような一般的なネットワークサービスを悪用するケースがあることも知っておくべきだ。将来システムを設計、構築、運用する際には、単に機能を満たすだけでなく、どのような攻撃手法が存在し、それに対してどのような防御策を講じるべきかというセキュリティの視点が不可欠となる。OSやネットワークの基礎知識はもちろんのこと、マルウェア対策、フィッシング対策、そして脆弱性管理など、幅広いセキュリティ対策に関する知識を習得することが求められる。今回のBlind Eagleの事例は、まさにその重要性を再認識させるものであり、最新の脅威動向に常にアンテナを張り、学び続ける姿勢がシステムエンジニアには求められているのである。