AmazonがAPT29の水飲み場型攻撃キャンペーンを阻止、攻撃者の狙いはデバイスコードフィッシング

AmazonがAPT29の水飲み場型攻撃キャンペーンを阻止、攻撃者の狙いはデバイスコードフィッシング

The Hacker News – Aug 29, 2025

Amazonは8月29日、ロシア関連のアクターAPT29による水飲み場型攻撃を発見し、阻止したと発表。特定のターゲットを狙うのではなく数打ちゃ当たる方式で実施されていたとみられるこのキャンペーンは、同APTのインテリジェンス収集の取り組みの一部だったという。

APT29は、Midnight Blizzard、Cozy Bear、Earth Koshcheiなどの呼称でも知られる国家支援型ハッキンググループ。ロシア対外情報庁（SVR）との繋がりが指摘される同グループは、何らかの方法で侵害された正規のWebサイトにJavaScriptを注入。このスクリプトにより、当該サイトを訪問したユーザーのおよそ10%を自らの制御するドメインへリダイレクトさせたという。

リダイレクト先のサイトは「findcloudflare[.]com」などのサイト。Cloudflareの認証ページを真似て疑いを抱かせないようにしているが、実際の目的は、ユーザーを騙して攻撃者が生成した正規のデバイスコードを入力させ、ユーザーのマイクロソフトアカウントおよびデータへのアクセスを盗み取ることだったとされる。これはデバイスコードフィッシングと呼ばれる手法で、デバイスコード認証という「ユーザーが Web ブラウザーまたはキーボードを持たないデバイス上のアプリケーションにサインインできるようにする 、Azure Active Directory (Azure AD) によって提供される認証フローの一種」を悪用する手口。セキュリティ企業Volexityの報告によれば、APT29のほか、ロシア関連のハッカーStorm-2372、UTA0304、UTA0307がデバイスコードフィッシングを採用しているとされる。

関連記事：ロシアの国家型ハッカーがデバイスコードフィッシングの手法で組織を標的に

Amazonはこのキャンペーンを発見後、影響を受けるEC2インスタンスを素早く隔離。Cloudflareやその他のプロバイダーと協力してAPT29のドメインを停止し、関連する情報をマイクロソフトに共有したという。これを受けAPT29は新たなインフラへの移行を試みているものの、Amazonのチームは追跡と妨害の取り組みを続けている。なお、今回のキャンペーンで侵害されたWebサイトがいくつかあるのかや、そもそもどのような方法でこれらのサイトがハッキングされたかなどの詳細については不明とのこと。

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク