フランス政府とEUは2026年7月13日、ロシア連邦保安庁(FSB)の第16センターが「Turla(トゥルラ)」と呼ばれる攻撃手法を用いてフランスの政府機関・国防関連組織等を標的にしてきたサイバースパイ活動について、それぞれ正式な攻撃帰属(アトリビューション)の宣言を行いました。フランスの官民連携組織であるサイバー危機調整センター(C4)が同日公表した技術報告書によれば、この攻撃は2010年代から確認されており、国防省、在モスクワ・フランス大使館、司法機関、そして2025年には国防産業向けの先端技術研究機関までもが標的となり、大量のデータが流出したとされています。
サマリー
- フランス欧州・外務大臣は2026年7月13日、ロシアFSB第16センターによる「Turla」という攻撃手法を用いたサイバースパイ活動について、フランスを代表して正式な攻撃帰属を宣言した。同日、EUの外交・安全保障政策上級代表もEUおよび加盟国を代表して同様の帰属宣言を行っている
- 技術的な裏付けとして、ANSSI(国家情報システムセキュリティ庁)・COMCYBER(サイバー防衛司令部)・DGA(国防装備総局)・DGSE(対外治安総局)・DGSI(国内治安総局)で構成される「サイバー危機調整センター(C4)」が、詳細なインテリジェンスレポート(CERTFR-2026-CTI-004)を公表した
- Turlaは2004年以降活動してきたとみられる攻撃手法で、政府・外交・国防・研究・技術・教育・メディア・エネルギー分野の組織や個人を世界規模で標的にしてきた。セキュリティ業界ではSecret Blizzard、Venomous Bear、Pensive Ursa、Pacifier、Waterbugといった別名でも知られている
- FSB第16センターは通称「軍事ユニット71330」または「通信電波偵察センター」とも呼ばれ、ロシア国内に11カ所ある傍受拠点を活用している。このうち、サンクトペテルブルク近郊のクラスノエ・セロー付近に位置する「軍事ユニット61240」が、フランスを専門に標的とする部隊とされている
- フランス国内では2014年の省庁標的化を皮切りに、2017年以降の国防省(ministère des Armées)のメールアカウント侵害、2018年の在モスクワ・フランス大使館(欧州・外務省ネットワーク)侵害、2019年の司法機関サーバー侵害、そして2025年2月には国防産業向けの機微技術研究機関が標的となり、大量のデータが流出したことが確認されている
- 攻撃基盤には、公開ツール(Mimikatz、Metasploit)に加え、Agent.BTZ/Uroburos(Turla、Snakeとも呼ばれる)を起源とする独自の複雑なマルウェア群が使われており、2016年以降は「Kazuar」というマルウェアが継続的に使用され2026年時点でも活動が確認されている
- 今回の攻撃帰属は、ロシアの攻撃的サイバー・エコシステムの関係者を非難・制裁するEU全体の協調的な取り組みの一環であり、フランスの攻撃帰属能力の強化によって可能になった。ロシアに対しフランス・EUの利益を標的にした攻撃的活動には常に断固たる対応が取られることを示す狙いがあるとされている
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年7月13日 |
| 帰属を宣言した主体 | フランス欧州・外務大臣(フランスを代表)、EU外交・安全保障政策上級代表(EU・加盟国を代表) |
| 技術報告書の発行元 | サイバー危機調整センター(C4:ANSSI・COMCYBER・DGA・DGSE・DGSI) |
| 攻撃手法(MOA)名 | Turla(別名:Secret Blizzard、Venomous Bear、Pensive Ursa、Pacifier、Waterbug等) |
| 攻撃主体 | ロシア連邦保安庁(FSB)第16センター、特に軍事ユニット61240 |
| 活動開始時期 | 少なくとも2004年から |
| フランスにおける主な被害 | 国防省メール(2017年〜)、在モスクワ大使館(2018年)、司法機関(2019年)、国防産業向け研究機関(2025年2月、大量データ流出) |
| 主なマルウェア | Uroburos(Snake)、Kazuar、Epic、ComRAT、Carbon、Mosquito、Gazer、Crutch等 |
| 傍受拠点数 | ロシア国内11カ所(欧州・米州向けとアジア向けに地理的に分散) |
目次
何が起きたか-フランス・EUによる正式な攻撃帰属
フランス欧州・外務省が公表した声明によれば、フランスは数年来、ロシアFSB第16センター、特にフランスを標的とする専従部隊である軍事ユニット61240によって行われる、持続的なサイバースパイ活動の標的となってきました。
攻撃手法Turlaを用いて、FSBは2017年以降、国防省(ministère des Armées)のインターネットメールアカウントを標的にしてきたほか、2018年には在モスクワ・フランス大使館の欧州・外務省ネットワークを侵害しています。2019年には司法分野の組織が保有するサーバーの侵害が検知されました。そして2025年2月には、フランスの国防産業向けに機微な技術を研究する研究機関がFSB第16センターによるサイバー攻撃の標的となり、大量のデータが流出する事態に至ったとされています。
こうした一連の悪意あるサイバー活動を受け、フランス欧州・外務大臣は2026年7月13日、フランスを代表してロシアへの正式な攻撃帰属を宣言しました。同日、EUの外交・安全保障政策上級代表も、EUおよび加盟国を代表して同様の攻撃帰属を行っています。この宣言にあわせて、C4はTurlaの活動実態とフランスにおける被害状況を詳述したインテリジェンスレポート(CERTFR-2026-CTI-004)を公表しました。
FSB第16センターとは-11の傍受拠点とフランス専従の第61240部隊
C4のレポートによれば、FSB第16センターは通称「軍事ユニット71330」または「通信電波偵察センター(ЦРРСС/TsRRSS)」とも呼ばれ、フランス・欧州の利益を標的とする複数の攻撃手法(MOA)を運用しており、その一つがTurlaです。
この活動を行うにあたり、FSB第16センターはロシア全土に分散配置された11カ所の傍受拠点を活用しているとされています。これらの拠点は軍事ユニット番号で呼称され、ソチ近郊(03110)、クラスノダール地方テムリュク近郊(11380)、クリミアのアルシタ近郊(28735)、サラトフ州バラショフ近郊(44231)、プスコフ近郊(49911)、モスクワ州チェーホフ近郊(51952)、サンクトペテルブルク州クラスノエ・セロー近郊(61240)、モスクワ南部(61608)、ハバロフスク近郊(70822)、ウラジオストクのチコトヴォ近郊(83417)、カリーニングラード州ゼレノグラーツク近郊(83521)に、それぞれ拠点を構えています。
これらの拠点の地理的な配置とアンテナの向きから、地理的な標的の分担がうかがえるとC4は指摘しています。
具体的には、プスコフ・クラスノエ・セロー・ゼレノグラーツクの各拠点は欧州・米国を志向し、チコトヴォ・ハバロフスクの拠点はアジアを標的にしているとみられています。このうち、サンクトペテルブルク南西のクラスノエ・セロー付近に位置する軍事ユニット61240が、電磁的情報収集(ROEM)およびサイバー攻撃活動の両面でフランスの標的化を専門的に担っているとされています。このユニットはさらに、ロシアの情報機関のサイバー攻撃活動を支援することで知られる「AO AST」や「NPP Gamma」といったロシア企業と密接な関係を持っているとC4は指摘しており、フランス・欧州の利益にとって現実の脅威を構成しているとの評価が示されています。
なお、フランス政府の関連発表によれば、FSB第16センターが用いる攻撃手法はTurlaだけにとどまらず、2025年12月には「Berserk Bear」という別の攻撃手法も使用したとされています。
当サイトで以前紹介したNSA・FBI・CISAを中心とする12カ国18機関による共同勧告でも、脆弱なルーターを狙う「Static Tundra(別名Berserk Bear)」という攻撃者がFSB「第16センター」に帰属するとされ、2025年12月に発生したポーランドの電力網への攻撃も同グループによるものと英国・EUが正式に認定していました。今回のフランスの発表は、この同じFSB第16センターが、ルーター等のネットワーク機器を狙うStatic Tundra/Berserk Bearとは別に、Turlaという長期スパイ活動専用の攻撃手法も並行して運用してきた実態を裏付けるものです。
MOA Turlaとは-2004年から続く長期スパイ活動
C4のレポートによれば、Turlaは少なくとも2004年から活動しており、政府・外交・国防・研究・技術・教育・メディア・エネルギー分野に属する官民の組織や、世界各地の個人を標的にした情報収集に用いられてきました。過去に確認された主要な攻撃事例としては、2008年の米軍ネットワークの侵害、2016年のスイスの防衛企業RUAGの侵害、2018年のドイツ政府ネットワークの侵害が挙げられています。
2022年2月24日にロシアがウクライナへの侵略戦争を開始して以降、Turlaはロシアの戦争遂行を支援する目的で、ウクライナおよび同盟国の政府機関・国防分野・技術分野の組織を標的にした偵察・スパイ活動にも用いられ続けています。
マルウェアと攻撃インフラ
C4は、Turlaが公開されている攻撃ツール(MimikatzやMetasploit等)と、Turla専用の独自マルウェア群の両方を組み合わせて使用しているとしています。この独自マルウェア群は、Agent.BTZおよびUroburos(いずれもTurlaまたはSnakeという名称でも知られる)を起源としており、Windows(特にOutlookやMicrosoft Exchangeといったメールソフト)、Linux、macOSに加え、Webブラウザ・業務アプリケーション・Webサーバーも標的にしてきました。2016年以降のTurlaの攻撃キャンペーンは、継続的に進化を重ねてきた「Kazuar」というマルウェアに支えられており、2026年時点でも引き続き使用されています。
侵入手法としては、標的型フィッシングや水飲み場型攻撃(正規のソフトウエアを装ったファイルのダウンロードを誘導する手口)に加え、ネットワーク機器や業務アプリケーションの侵害、ゼロデイ脆弱性を含む脆弱性の悪用が確認されており、一部のキャンペーンでは複数の脆弱性を組み合わせた侵害チェーンも用いられています。攻撃基盤としては、レンタルまたは侵害されたサーバー・WebサイトなどのCMS(WordPress等)を利用するほか、匿名化・C2通信・データの持ち出しのために衛星通信を利用した手段や、侵害済みマシンで構成されるピアツーピア型の通信ツールも活用されているとされています。この攻撃手法は、国家が関与するとされる他の脅威やサイバー犯罪者の攻撃能力の再利用・転用とも関連付けられています。
フランスにおける被害の変遷(2014年〜2025年)
C4は、Turlaによるフランスの被害者を「最終的な被害者(スパイ活動を目的に侵害される対象)」と「中間的な被害者(様々な分野に属し、最終的な被害者への攻撃を助長する中継地点として日和見的に侵害される対象)」の2種類に分類しています。2010年代以降、フランスの中間的・最終的な被害者には、各省庁、外交・国防・司法・技術分野の組織のほか、各種団体・個人・多様な企業が含まれています。
2014年には、Uroburosマルウェアを用いて省庁レベルの組織が標的化・侵害されたことが確認されており、スパイ活動を目的としていた可能性が高いとされています。少なくとも2017年以降は、国防省(ministère des Armées)の幹部職員のインターネットメールアカウントがTurlaの運用者によって侵害されており、この脅威は国防省およびその傘下組織に対して現在も継続しているとされています。2018年には、在モスクワ・フランス大使館の欧州・外務省ネットワークがTurlaによって侵害され、攻撃者はネットワークの走査およびデータの持ち出し活動を行ったとみられています。この事案について、C4はセキュリティベンダーMicrosoftが最近報告した、2024年以降モスクワに所在する各国大使館を標的にしたキャンペーン(Turlaに関連付けられている)と符合すると指摘しており、外交拠点への継続的な関心をうかがわせています。
同じく2018年には、フランスの技術分野の組織に属する複数のマシンがUroburosマルウェアによって侵害されたことも確認されており、この侵害されたマシンは攻撃インフラの中継地点として利用されていたことが調査で判明しています。2019年には、職員向けの継続教育サービスをホスティングする司法分野の組織のサーバーが侵害されていたことが判明しました。この攻撃では、SharePointに関連する脆弱性が悪用されてマルウェアがインストールされており、調査の結果、攻撃者は数千件規模の利用者アカウントの情報に潜在的にアクセスしていた可能性があることが判明しています。2019年から2025年にかけては、複数のフランスの中間的な被害者の侵害が継続的に観測されています。そして2025年には、先端技術分野で活動する組織に対するTurlaに関連するとみられる悪意ある活動についても情報を得ており、フランス外務省の発表では、これが国防産業向けの機微な技術を研究する研究機関であり、大量のデータが流出したことが明らかにされています。
今回の攻撃帰属の目的
フランス政府の発表によれば、今回のTurlaのFSBロシアへの攻撃帰属は、ロシアの攻撃的サイバー・エコシステムの関係者を非難し制裁するEU全体の協調的な取り組みの一環として位置づけられています。この宣言は、フランスのサイバー攻撃帰属能力の強化によって可能になったものであり、フランスに対するハイブリッド攻撃(サイバー攻撃を含む複合的な脅威)が激化・深刻化する状況を踏まえたものだとされています。フランス政府はこの宣言を通じて、ロシアにその責任を改めて認識させるとともに、フランスの利益を標的にした攻撃的活動が今後も常にフランスおよびEUからの断固たる対応に直面することを示す狙いがあると説明しています。
情報システム部門への示唆
今回の事案が示す重要な教訓は、国家が関与する長期的なサイバースパイ活動においては、必ずしも直接の標的にされていない組織であっても、攻撃者の中継インフラとして日和見的に利用されるリスクがあるという点です。C4のレポートが「中間的な被害者」として明確に整理しているように、技術分野の企業や司法関連の組織のように、機密情報を大量に保有しているとは限らない組織であっても、攻撃インフラの一部として悪用される可能性があります。自組織のセキュリティ監視においては、直接的な情報窃取の兆候だけでなく、外部との不審な通信の中継地点になっていないか、社内の一部端末が攻撃インフラの踏み台として利用されていないかという観点からの監視も重要です。
また、2025年2月に国防産業向けの研究機関が標的となり大量のデータが流出した事例は、防衛関連のサプライチェーンに連なる研究機関・技術企業が、国家の直接標的にならずとも、機微な技術情報を狙う国家的な攻撃者にとって魅力的な標的であり続けることを改めて示しています。自組織が防衛・先端技術分野のサプライチェーンに属している場合は、こうした標的化のリスクを踏まえた、より高度な監視体制と情報資産の分類管理を検討することをお勧めします。あわせて、Kazuarのような長期にわたって進化を続けるマルウェアファミリーの存在は、単発の脅威インテリジェンス更新だけに頼るのではなく、既知のTurla関連の侵害指標(IoC)を継続的に監視・アップデートしていく体制の重要性を示しています。
出典
- Ciblage et compromission d’entités françaises au moyen du mode opératoire d’attaque Turla (CERTFR-2026-CTI-004) – CERT-FR/C4(一次ソース、添付PDF)
- Attribution à la Russie d’activités cyber malveillantes à des fins d’espionnage en France – France Diplomatie(一次ソース)
- Ciblage et compromission d’entités françaises par le Centre du service fédéral de sécurité de la fédération de Russie (FSB) – cyber.gouv.fr(一次ソース)
- 米英加豪など18機関、ロシアFSB「第16センター」によるルーター悪用の重要インフラ攻撃を共同警告-ポーランド電力網攻撃も正式に帰属 – セキュリティ対策Lab








