1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. ロシア系APT「UNC1151/Ghostwriter」がGmailを標的にサイバー攻撃 キャンペーン

ロシア系APT「UNC1151/Ghostwriter」がGmailを標的にサイバー攻撃 キャンペーン

セキュリティニュース

投稿日時: 更新日時:

ロシア系APT「UNC1151/Ghostwriter」がGmailを標的にサイバー攻撃 キャンペーン

2026年6月12日、ポーランドのコンピュータ緊急対応チーム(CERT Polska)は公式ブログ(英語版)で、ベラルーシ・ロシアと関連するAPTグループ「UNC1151/Ghostwriter」が2026年3月からGmailを標的にした大規模フィッシングキャンペーンを展開しているという調査報告書を公開しました。

UNC1151/GhostwriterはMandiantが「高い確信度でベラルーシ政府・軍と関連する」と評価したグループで(2021年、SecurityWeek確認)、ドイツ政府・EU・ポーランド政府はロシアのサービスとの関与も指摘しています。このグループは数年間にわたりポーランド市民のメールアカウントへの不正アクセスを目的としたフィッシングキャンペーンを行ってきましたが、従来の標的はOnet・Wirtualna Polska・Intriaといったポーランドのメールプロバイダーのユーザーでした。2026年3月以降、標的がGmailに移行したことが今回の調査で明確になりました。今回のキャンペーンで最も注目すべき技術的な進化は「二要素認証(2FA)コードのリアルタイム奪取」能力です——偽のGmailログインページが、Gmailユーザーの認証情報入力後に即座に2FAコードの入力を求め、攻撃者がその場でアカウントに侵入するというAiTM(Adversary in the Middle・中間者)攻撃が確認されています。SMSコードとGoogle Authenticatorアプリが生成するコードの両方が対象です。本記事ではCERT Polskaの一次報告書をもとに、キャンペーンの全容・AiTMの技術的仕組み・攻撃インフラの特徴・地政学的背景を解説します。

サマリー

  • 報告機関:CERT Polska(ポーランドのコンピュータ緊急対応チーム)、2026年6月12日公開
  • 攻撃グループ:UNC1151/Ghostwriter(別名:Storm-0257・FrostyNeighbor・UAC-0057)
  • 帰属:Mandiantが「高い確信度でベラルーシ政府・軍と関連」。EU・ドイツ・ポーランドはロシアとの関与も指摘
  • 新展開(2026年3月〜):従来の標的(ポーランドのメールプロバイダー:Onet・Wirtualna Polska・Intria)からGmailへ移行
  • キャンペーンの特徴
    • 主に平日に高強度で実施。ほぼ毎日新しいフィッシングドメインを使用
    • ポーランド語で書かれた偽Gmailセキュリティ警告メール(言語的誤りなし)
    • BCC(隠しCc)メカニズムを多用——メールが直接宛名になっていない
    • 新規作成Gmailアカウントまたは侵害されたアカウントから送信
  • AiTM(2FA奪取):被害者がパスワードを入力すると攻撃者が即座にログインを試み、2FAが要求された場合はフィッシングページで2FAコードも要求。SMSコードとGoogle Authenticatorコードの両方に対応
  • 圧力戦術:同一ターゲットへの繰り返し攻撃。「48時間以内に対応しないとアカウントを削除」→「24時間以内」と期限を短縮
  • 主な標的:政治家・社会活動家・著名人・研究者・ジャーナリスト・公務員・警察/軍人・および彼らと家族的・社会的つながりを持つ人物。特定の地域や職種(翻訳者・司法鑑定人等)を狙ったキャンペーンも
  • インフラ:.icu/.digital/.topドメイン・Netlifyサブドメイン(*.netlify.app)・侵害されたポーランド組織のウェブサイト(メインページは温存してバックエンドを悪用)
  • 同時期の動向:ESETも2026年3月〜の同グループによるウクライナ政府組織への攻撃キャンペーンを別途報告(Security Affairs確認)

UNC1151/Ghostwriterとは——ベラルーシ・ロシア発のAPTグループ

グループの概要と帰属

UNC1151は、MandiantがAPT活動クラスターを分類するために使用する内部コード名で、Google Cloud(Mandiant)が少なくとも2016年から追跡しているグループです(Wikipedia・Mandiant公式確認)。

他機関での呼称:

  • Microsoft:Storm-0257
  • ESET:FrostyNeighbor
  • CERT-UA(ウクライナ):UAC-0057

帰属の評価:

Mandiantは2021年11月、「UNC1151がベラルーシ政府と関連している可能性が高い(高い確信度で)」と評価し、作戦を指揮する人物がベラルーシのミンスクに所在しベラルーシ軍と繋がっている可能性を示すと発表しました。ただしMandiantは「ロシアのUNC1151またはGhostwriterへの関与を否定することはできない」とも明記しています。

EUとドイツ政府はGhostwriterキャンペーンの運営者としてロシアを名指ししており、ポーランドも同様の立場をとっています。ベラルーシとロシアの緊密な政治的関係を踏まえると、両国の何らかの協力関係が示唆されています。

Ghostwriterキャンペーンとは

「Ghostwriter」という名称は、このグループが記者や出版社の認証情報を盗み、それらを使って本人の名義で偽の記事を投稿するという初期の手口に由来します(Wikipedia確認)。NATOや西側民主主義を批判するディスインフォメーション(偽情報)の拡散が主な目的であり、2020年頃からポーランド・ドイツ・リトアニア・ラトビア・ウクライナの政府機関・メディア・著名人を継続的に標的にしてきました。

2026年3月以降のGmail標的キャンペーン——何が変わったか

従来との違い

CERT Polskaの報告書によれば、UNC1151は以前にもポーランド市民のメールアカウントを標的としたフィッシングキャンペーンを実施してきましたが、対象はOnet・Wirtualna Polska・Intriaといったポーランド国内のメールプロバイダーでした。2026年3月からの変化は2点あります。

第一に、標的がGmailへ移行した点です。GmailはGoogleが提供する世界最大規模のメールサービスであり、利用者層が多様で高い社会的影響力を持つ人物(政治家・研究者・記者等)が多く利用しています。

第二に、2FAコードのリアルタイム奪取能力が加わった点です。これは従来のポーランドプロバイダー向けキャンペーンと比べた「重要な攻撃能力の強化」と報告書は明記しています。

フィッシングの仕組み——3段階の攻撃フロー

Stage 1:偽セキュリティ警告メールの送信

被害者はまず、外見上はGmailの公式セキュリティ警告に見えるメールを受け取ります。メールはポーランド語で書かれており、言語的な誤りは観察されません。

典型的な送信者名と件名(CERT.pl確認):

送信者名 件名(ポーランド語) 意味
Mail Secure Krytyczny alert 重大なアラート
Mailer Notification Wykryto próbę logowania z nowego urządzenia 新規デバイスからのログイン試行を検出
Support Security Alert bezpieczeństwa セキュリティアラート
monitoring konta Podejrzaną aktywność 不審なアクティビティ
Zespół Poczty Możemy zablokować konto アカウントをブロックする可能性
Support Security Ważna weryfikacja dostępu 重要なアクセス確認

送信手法の3パターン:

①新規作成したGmailアカウントから直接アドレスして送信

BCC(隠しCc)メカニズムを使用——メールの宛名が被害者にならないため、「誰が他に同じメールを受け取っているか」が分からない。このためリンクが全被害者に共通(ユニークなリンクでない)でも追跡が困難

③侵害された第三者のメールアカウントから送信(送信者の表示名のみ変更)

Stage 2:偽Gmailログインページでの認証情報奪取

メールのリンクをクリックすると、URLバーには正規のGmailとは異なるドメインが表示されますが(重要な警戒サイン)、ページ外観はGmailログイン画面を精巧に模倣した偽サイトが表示されます。

偽サイトはポーランド語で表示され、被害者にメールアドレスとパスワードを入力させます。

Stage 3:AiTMによるリアルタイム2FA奪取

今回のキャンペーンで最も重要な技術的特徴が、この段階です。

被害者がパスワードを入力すると、攻撃者のシステムが即座に実際のGmailへのログインを試みます。この時点でGmailが2FAコードを要求した場合——

偽サイトは自動的に「2段階認証コードを入力してください」というフォームを表示し、被害者に2FAコードの入力を求めます。被害者が入力したコードは即座に攻撃者に転送され、攻撃者は有効期限が切れる前にそのコードを使ってGoogleへのログインを完了します。

この手法は**AiTM(Adversary in the Middle・中間者攻撃)**と呼ばれ、以下の両方に対応します。

  • SMSで送られてくるワンタイムコード
  • Google Authenticatorアプリが生成するTOTPコード

つまり、2FAを有効にしていてもAiTMフィッシングサイトを経由した場合は保護されません。

攻撃インフラ—毎日変わるドメインと合法サービスの悪用

CERT Polskaの分析によれば、UNC1151は動的にインフラを変化させており、3か月間で以下の手法が観測されています。

①目的特化ドメインの登録: .icu.digital.topなどのTLDに、フィッシングメールの内容や送信元メールアドレスに合わせたドメイン名を登録(例:「security-alert-gmail-verify.icu」等の構造)

②Netlifyプラットフォームの悪用: *.netlify.appのサブドメインを利用して偽ログインページをホスティング——Netlifyは正規のウェブホスティングサービスであるため、URLフィルタリングをすり抜けやすい

③侵害されたポーランド組織のウェブサイト: 脆弱性を突いて侵害したポーランドの組織のウェブサイトのバックエンドに偽ログインページを設置。メインページは変更しないことで、通常ユーザーやサイト管理者が異変に気づかないようにしています

④非ユニークなフィッシングリンク・追跡なし: Gmailキャンペーンでは送信メール内のリンクが被害者ごとにユニークではなく、メール開封の追跡機能も持たないことが特徴。これは以前のキャンペーンとの技術的差異です

ウクライナでの並行キャンペーン

Security Affairs(2026年5月)によれば、ESETも同グループ(FrostyNeighbor名義)が2026年3月からウクライナ政府機関を標的にした新キャンペーンを展開していることを別途報告しており、ポーランドとウクライナを同時期に並行して攻撃している可能性があります。これはロシア・ベラルーシによるNATO隣接国への情報収集・ディスインフォメーション準備という文脈での広域作戦の一部と評価できます。

なぜGmailの2FAは十分でないのか—AiTMの原理

今回のキャンペーンが突きつける最も重要なセキュリティの問題は「2FAを有効にしていても、フィッシングサイトに誘導されてコードを入力した場合は防御できない」という点です。

2FAはアカウントへの不正ログインを防ぐ重要な防護措置ですが、それはコードが「本物の認証サーバーにのみ渡される」場合に限ります。AiTMでは:

  1. 被害者は「偽のGmailサイト」と通信していると思っているが
  2. 実際には「偽サイト→攻撃者のサーバー→本物のGoogle」という中継が発生
  3. 攻撃者は被害者のコードを即座にリレーして認証を完了

これに対して有効な保護手段はパスキー(FIDO2/WebAuthn)またはハードウェアセキュリティキー(YubiKey等)です。これらの物理的または暗号的バインディングをサポートする認証方式は、AiTMでは代替不可能(コードが特定のサイトのドメインに暗号的に紐付けられる)ため、偽サイトでの入力は機能しません。

日本への含意

今回のキャンペーンはポーランドのGmailユーザーを標的としていますが、日本の組織・個人にとっても直接的な教訓があります。

AiTMフィッシングはグローバルに拡大している: 同様のAiTM技術を使ったフィッシングは、北朝鮮系・中国系・ロシア系のAPTグループが日本を含む世界中で展開しています。「2FAを設定しているから安全」という認識を見直す必要があります。

政治家・記者・研究者・公務員はAPTの主標的: CERT Polskaが指摘する標的プロファイル(政治活動家・著名人・研究者・ジャーナリスト・公務員等)は日本でも同様です。これらの立場にある方々や、彼らを支援する組織のITセキュリティ担当者は特に注意が必要です。

「家族・知人経由」の攻撃: CERT Polskaは「攻撃者は標的人物と家族的・社会的つながりを持つ人物も攻撃する」と明記しています。直接の標的でなくても、周辺の人物として狙われる可能性があります。

対応手順

① パスキーまたはハードウェアセキュリティキーへの移行

Googleアカウントのセキュリティ設定でパスキー(FIDO2/WebAuthn)を有効化するか、YubiKey等の物理的なセキュリティキーを設定してください。これがAiTMフィッシングに対して現時点で最も有効な防護手段です。

② 不審なセキュリティ警告メールへの対応

Gmailから「ログイン検出」「アカウント停止の警告」等のメールが届いた場合、メール内のリンクをクリックせず、直接ブラウザのアドレスバーにaccounts.google.comと入力してGoogleアカウントにアクセスし、セキュリティアクティビティを確認してください。

③ URLバーの確認の徹底

偽のGmailログインページに誘導された場合でも、URLバーに表示されるドメインがgoogle.comでないことが唯一の視覚的手がかりです。ログイン前に必ずURLバーを確認する習慣を組織内で教育してください。

④ BCCメカニズムへの注意

受信したメールの宛先に自分のアドレスが表示されていない場合は、BCC(隠しCc)を使った一斉送信の可能性があります。このようなメールのリンクは特に慎重に扱ってください。

参考情報

関連記事

Microsoft、Teamsを悪用したサポート詐欺の詳細な手口を公表Microsoft、Teamsを悪用したサポート詐欺の詳細な手口を公表 中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説 NECが英セキュリティ大手と能動的サイバー防御強化に向けたMOUを締結NECが英セキュリティ大手と能動的サイバー防御強化に向けたMOUを締結 多要素認証(MFA)とは?メリットや必要性を解説多要素認証(MFA)とは?メリットや必要性を解説 悪意のあるGoパッケージがLinuxおよびmacOSを標的としたマルウェアローダーを配布悪意のあるGoパッケージがLinuxおよびmacOSを標的としたマルウェアローダーを配布 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 米政府がAnthropicにFable 5・Mythos 5の全世界停止を命令米政府がAnthropicにFable 5・Mythos 5の全世界停止を命令 北朝鮮系 ハッカーが新型マルウェア「EtherRAT」とReact2Shellの脆弱性をサイバー攻撃に悪用北朝鮮系 ハッカーが新型マルウェア「EtherRAT」とReactの脆弱性 React2Shellをサイバー攻撃に悪用 欧州委員会(EC)のAWS環境へ不正アクセス、原因は「Trivy」へのサプライチェーン攻撃欧州委員会(EC)のAWS環境へ不正アクセス、原因は「Trivy」へのサプライチェーン攻撃