チェック・ポイント・リサーチ、東南アジア全域で標的型サイバー諜報活動を展開する「Amaranth-Dragon」の調査結果を新たに発表
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2026年02月16日
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
公的な報告が初となる「Amaranth-Dragon」は、成熟した技術と緻密な統制、地政学的な意図によって中国関連の「APT41」との密接な関係を示唆
サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、東南アジア全域で政府機関および法執行機関を標的とする高度なサイバー諜報キャンペーンを展開する脅威アクター「Amaranth-Dragon」に関する新たな調査結果を発表しました。キャンペーンは、その技術的な成熟性や緻密な統制を特徴としており、中国関連の脅威グループ「APT41」との関連性が指摘されています。
概要
- CPRは、2025年を通じ、ASEAN地域全域で、政府機関および法執行機関を標的とする高度に組織化された標的型サイバー諜報キャンペーンを発見しました。
- この活動は、これまで公的に報告されていなかった脅威アクター「Amaranth-Dragon」によるものと見られ、中国に関連するAPT41エコシステムとの密接な関連性が示唆されています。
- Amaranth-Dragonは、WinRARの重大な脆弱性を含む新たに公表された脆弱性をわずか数日で武器化し、現地の政治・安全保障に関連する出来事に関連付けたルアーと組み合わせて悪用していました。
- これらの諜報活動は国家レベルの規律と緻密さを示しており、国別の制限があるインフラ、信頼あるクラウドサービス、ステルス性の高いツールなどを用いて、密かに情報を収集しています。
東南アジアで展開された新たなサイバー諜報活動
CPRは2025年を通じて、東南アジア全域で密かに展開されていた一連のサイバー諜報キャンペーンを観測しました。これらの活動は、機会主義的なサイバー犯罪とは異なり、政府機関や法執行機関に標的を絞っており、長期的な地政学的情報を収集するという明確な目的が示唆されています。
諜報キャンペーンの多くは、地域の政治情勢や政府の公式決定、安全保障上の出来事と時期を合わせて計画されており、攻撃者は悪意ある行動をターゲットにとって身近かつタイムリーな文脈と結びつけることで、コンテンツへの反応・関与を促していました。
CPRはこれらのキャンペーンについて、これまで公的に確認されていなかった脅威グループ「Amaranth-Dragon」によるものと分析しています。ツールや運用パターンには、最も活発かつ高い能力を持つ中国のサイバー諜報グループ「APT41」との強い類似性が確認され、両者の間でリソースや知識が共有されている、あるいは直接的な関連性が存在する可能性が示唆されます。
キャンペーンの設計は高度に制御され、攻撃インフラは特定の国の限定された標的とのやり取りのみを行うよう設定されていました。アクセス確立後には、持続的な侵害を維持するために、正当なセキュリティテストで使用されるツールが流用されていました。
スピードを武器に:情報公開を攻撃機会に変える
Amaranth-Dragonの活動における決定的な局面となったのは、広く普及している圧縮ユーティリティ「WinRAR」に影響を与える脆弱性CVE-2025-8088の公表でした。脆弱性の公開からわずか数日後、その悪用が確認された直後に、オンライン上でエクスプロイトコードが公開されました。Amaranth-Dragonはすでにこの脆弱性を実運用中のキャンペーンに組み込んでいたのです。この脆弱性が運用に組み込まれるまでのスピードと迷いのなさは、同グループの技術的な成熟度と万全の準備態勢を浮き彫りにしています。
攻撃規模よりも国別の最適化を重視したキャンペーン
2025年3月以降、CPRはAmaranth-Dragonによるカンボジア、タイ、ラオス、インドネシア、シンガポール、フィリピンを標的とした複数のキャンペーンを追跡しています。いずれの作戦も厳密に範囲が限定されており、通常は一度に1~2カ国のみに標的が絞られていました。
攻撃者は大量配信型の攻撃に頼るのではなく、政府の給与発表や地域の合同演習など、現地の政治的・経済的・軍事的な動向に合わせてルアーを調整していました。正確な配信経路は断定できなかったものの、その標的を絞った性質から、意図した被害者に直接送信されるフィッシングメールが用いられていた可能性があります。また、悪意あるアーカイブファイルは一般によく知られたクラウドプラットフォーム上にホストされ、正当性を装うことで警戒心を和らげていました。
これらのキャンペーンにおいては、厳格な地理的制限の上での実施という際立つ特徴が見られました。攻撃インフラは標的国の外部からの接続を積極的に拒否することで、活動の拡散を抑え、外部からの調査を困難なものにしていました。このレベルの統制が一般的なサイバー犯罪で見られることはまれで、国家と連携した諜報活動との強い関連性が示唆されています。
時間の経過とともにキャンペーンは高度化し、2025年末にはフィリピン政府および海事機関を標的とした作戦へと発展しました。これらの作戦は、国家の公式行事に合わせて慎重にタイミングが計られていました。
攻撃の帰属:APT41との明確な接点
技術面および運用面の複数の指標によって、Amaranth-DragonとAPT41との結び付きが示唆されています。APT41は、長年にわたり活動し、世界中の政府機関を標的とすることで知られる、中国のサイバー諜報グループです。
両グループはいずれも東南アジアの政府機関および法執行機関に重点を置いており、ツール開発やキャンペーン実行の手法にも共通点が見られます。また、インフラ管理、運用タイミング、開発手法におけるパターンから、潤沢なリソースを有しUTC+8タイムゾーン内で活動するチームの存在が示唆されています。
これらの共通点を総合すると、Amaranth-DragonはAPT41エコシステムと密接に関係している、あるいはその一部として活動している可能性が高く、新たな作戦上のアイデンティティのもとで、同地域における既存の諜報活動を拡大していると考えられます。
防御側にとって意味すること
これらのキャンペーンは、現代のサイバー諜報活動における、スピード、精度、地政学的意図の融合の実態を明らかにしています。脆弱性は公表から数日で武器化され、入念に設計されたフィッシング攻撃によって従来型の境界防御は容易に突破されます。この事実は、政府機関や機密性の高い事業分野の組織にとって、迅速なパッチ適用、ファイルベースの脅威に対する高い可視性、そしてエンドポイントと通信チャネルの双方にまたがる多層的なセキュリティの重要性を浮き彫りにしています。
チェック・ポイントのHarmony EndpointとHarmony Email & Collaborationは、今回確認された活動で見られるような標的型のファイルベース攻撃に対し、組織がエクスポージャーを低減できるよう支援します。
Amaranth-Dragonに関する調査は現在も進行中です。技術的な詳細やキャンペーンのタイムライン、IoC(侵害指標)については、こちらからCPRのレポート全文をご覧ください。
本プレスリリースは、米国時間2026年2月4日に発表されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションならびにLakeraの製品およびソリューションに関する見通し、Lakeraの機能を活用し統合する当社の能力、エンドツーエンドのAIセキュリティスタックを提供する当社の能力、チェック・ポイントの新たなGlobal Center of Excellence for AI Security設立に関する記述、そして買収の完了に関する記述が含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2025年3月17日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
本記事はアフィリエイトプログラムによる収益を得ている場合があります
