国際刑事裁判所（ICC）、高度な標的型サイバー攻撃を検知

7月2日：サイバーセキュリティ関連ニュース

国際刑事裁判所（ICC）、高度な標的型サイバー攻撃を検知

The Register – Tue 1 Jul 2025

国際刑事裁判所（ICC）は6月30日、同裁判所を狙った高度な標的型サイバー攻撃が観測されたことを公表。ICCがこのようなインシデントに見舞われるのは2023年以来2回目だという。

今回の攻撃は検出後に抑え込まれ、その影響を制御するための措置もすでに講じられているとされる。ただ、この「影響」とは何かや、正確にはどのような攻撃が行われたのかといった詳細は明かされていない。ICCは30日の声明において、このタイプの攻撃が試みられたのは2023年以降で2度目だと説明している。1度目の攻撃は、ICCがウクライナ侵攻をめぐってロシアを調査している最中に生じたもの。ICCは当時、同インシデントを「スパイ目的の標的型かつ高度な攻撃」と表現しつつも、特定のグループや国家へのアトリビューションは行わなかった。なおICCはプーチン大統領に対し、2024年3月に逮捕状を発行している。

関連記事：国際刑事裁判所、サイバー攻撃を受ける　ロシアの戦争犯罪を調査する中

現在ICCは、世界の複数地域の状況に関する公開調査を12件、個人に対する公開調査を16件実施中で、その多くがアフリカおよび中東での戦争犯罪の疑いに関するもの。またこれとは別に、同裁判所はイスラエルのネタニヤフ首相およびガラント前国防相に対して戦争犯罪と人道に対する罪の容疑で逮捕状を発行している。この件と、アフガニスタンにおける米国の戦争犯罪疑惑に関する調査をめぐり、米国は2025年6月5日にICCの女性判事4名に制裁を科す方針を発表した。

このように、ICCはロシアのみならず米国やイスラエルにとって目の上のたんこぶのような存在となっていた。今回の攻撃が何者の仕業なのかはわかっていないが、近年の地政学情勢をめぐって同裁判所に対するサイバー攻撃リスクは一層高まっていることが想像される。なお、高度なサイバースパイオペレーションを実行する能力を持ち、過去にもそうしたスパイ攻撃を実施してきた米国、イスラエル、ロシア、中国、イラン、北朝鮮は、いずれもICCの加盟国ではない。

RomCom RATのアクターTA829とUNK_GreenSecが戦術とインフラを共有

The Hacker News – Jul 01, 2025

RomCom RATの背後にいる脅威アクターと、ローダー「TransferLoader」を配布するクラスターとの間に戦術的な共通点が見受けられることを、Proofpoint社が発見。両アクターが「異常な量の同じインフラ、配布戦術、ランディングページ、Eメールルアーのテーマ」を使用していると報告した。

RomCom RATとは、RomCom、TA829、Nebulous Mantis、Storm-0978、Void Rabisuといった呼び名で知られる脅威アクターが用いるマルウェア。TA829は金銭目的の攻撃を実施することもありながら、ロシアの意向に沿ったサイバースパイ活動も時折実施してきた。2022年5月に初めて発見され、ウクライナ組織を標的にする様子も観測されている。

一方でTransferLoaderは2025年2月のキャンペーンに関連してZscaler ThreatLabzが最初に報告したローダーマルウェア。同社により、このキャンペーンで米国のある法律事務所に対してMorpheusランサムウェアが展開された旨が報告された。ProofpointはTransferLoaderに関連したアクティビティを実行するグループを「UNK_GreenSec」として追跡しており、TA829を調査している最中にUNK_GreenSecに出くわしたのだという。

TA829とUNK_GreenSecの共通点の1つ目は、いずれのキャンペーンでもREM Proxyサービスを利用していた点。REM Proxyは侵害されたMikroTikルーターにデプロイされるもので、トラフィックのリレー目的でユーザーにレンタルされている可能性が高いという。両アクターもこのサービスを使ってトラフィックを新規に作成されたフリーメールのアカウントへ繋ぎ、そこからターゲットユーザーにフィッシングメールを送付していたことが観測されている。Proofpointは、Eメールの大量作成およびREM Proxyノードを介した大量送信を可能にするため、共通のEメールビルダーユーティリティが使われているとの仮説にも言及した。

いずれのアクターのキャンペーンにおいても、フィッシングメールの本文またはPDF添付ファイルのいずれかにはリンクが含まれ、ターゲットユーザーがこのリンクをクリックするとRebrandlyを通じた一連のリダイレクトが開始。最終的にGoogle DriveまたはMicrosoft OneDriveページを模倣したランディングページへと繋がる。フィッシングルアーにはTA829のみが用いるものもあるが、求人や履歴書をテーマにしたルアーは両方のアクターに利用されていたという。

いずれのアクターのどのフィッシングキャンペーンにおいても、このランディングページにはPDFを装った署名付きローダーをドロップするダウンロードサイトへのリンクが表示されている。ただし、ここで共通部分は終了し、それぞれのアクターにより異なる第1段階のマルウェアによって、異なるペイロードの投下に繋がる感染チェーンが開始されるという。

UNK_GreenSecのキャンペーンでは、TransferLoaderが投下されてMetasploitやMorpheusランサムウェアなど、追加のマルウェアの展開が目指される。一方でTA829のケースで第1段階ローダーの役割を果たすのがSlipScreen。その後の感染シーケンスにおいて、ダウンローダー「MeltingClaw（別称：DAMASCENED PEACOCK）またはRustyClawが展開されたのち、ShadyHammockやDustyHammockといったバックドアが展開される。DustyHammockはRomCom RATのアップデート版で、SingleCamper（SnipBot）を起動させる目的で使われるという。

それぞれのアクターで異なる点もあるものの、数々の重複が見られたことについてProofpointは以下4つの可能性を提唱している。

• 両アクターは同一のサードパーティプロバイダーから配布手段およびインフラを調達している
• TA829は独自にインフラを獲得・配布しており、これらのサービスをUNK_GreenSecにも提供している
• UNK_GreenSecはインフラ・配布プロバイダーであり、通常はTA829にサービスを提供しているが、独自のマルウェアTransferLoaderを展開するため一時的に自らこのサービスを使用していた
• TA829とUNK_GreenSecは同一のアクターで、TransferLoaderは同アクターのツールセットに新たに加わったマルウェア

Proofpointは両者の関係を正確に実証する十分な証拠があるわけではないとしながらも、「両グループの間に繋がりがある可能性は非常に高い」と述べている。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価