中国のサイバースパイが75超の重要組織を侵害、紛争時に備えた事前のアクセス確保が試みられた可能性 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 中国のサイバースパイが75超の重要組織を侵害、紛争時に備えた事前のアクセス確保が試みられた可能性

デイリーサイバーアラート

Silobreaker-CyberAlert

中国

地政学

中国のサイバースパイが75超の重要組織を侵害、紛争時に備えた事前のアクセス確保が試みられた可能性

佐々山 Tacos

佐々山 Tacos

2025.06.10

中国のサイバースパイが75超の重要組織を侵害、紛争時に備えた事前のアクセス確保が試みられた可能性

The Register – Mon 9 Jun 2025

サイバーセキュリティ企業SentinelOneは6月9日、4月に公表した攻撃キャンペーン「PurpleHaze」およびShadowPadマルウェアを使用したキャンペーンに関するさらなる詳細を明らかに。SentinelOne自身も標的となった両キャンペーンによる被害組織の数は、75組以上に及ぶという。

ShadowPadキャンペーン(2024年6月〜2025年3月)

SentinelOneは2024年6月、多様なセクターの組織へITソリューションやインフラを提供している南アジアの政府関連組織に対して、マルウェアShadowPadの展開を伴う脅威アクティビティが実施されるのを観測。その後の調査で、2024年6月から2025年3月にかけて同キャンペーンが世界的に実施され、製造、政府、金融、電気通信、研究といった幅広いセクターの70を超える組織が被害に遭っていたことを突き止めた。なおこれには日本の組織も含まれることが、SentinelOneのレポート記事中のマッピング画像により示されている。

また被害者の中には、当時SentinelOneの従業員用ハードウェアのロジスティクス管理を請け負っていたITサービス・ロジスティクス企業も含まれる。この攻撃によるSentinelOne自身のインフラ、ソフトウェア、ハードウェアへの被害はなかったとされるが、これは同社に対するサプライチェーン攻撃の試みだったと考えられている。

ShadowPadは中国との繋がりを持つことが疑われる複数の脅威アクターに使用されているクローズドソースのモジュラー型バックドアプラットフォームで、SentinelOneはこのキャンペーンを中国関連アクターによるものであろうと高い確度で評価している。ただ、具体的にどの脅威アクターなのかを判断するための取り組みは今も実施中だという。一方でShadowPadのサンプルからは、中国のAPTとされるAPT41(Winnti)の関与を示唆するような特徴も見つかっている。

PurpleHazeキャンペーン(2024年9月〜10月)

さらに2024年10月、SentinelOneは6月の攻撃で被害に遭った南アジアの政府系組織が再度脅威アクティビティの標的になったのを観測。今回の攻撃ではGOREshellというバックドアが使用されていた。また同じ月にはSentinelLABS自身のインターネットに接続されたサーバーに対する偵察行為が発生。これら2件の攻撃と、9月に観測されたヨーロッパの大手メディア組織に対する侵入行為はアクティビティ群「PurpleHaze」として追跡されている。

なお9月の攻撃では、Ivanti Cloud Services Appliance(CSA)における脆弱性CVE-2024-8963およびCVE-2024-8190をゼロデイとして悪用する手法が使われた。この手法からは、中国の国家安全部(MSS)の業務を請け負っていると思われるUNC5174が示唆されるという。一方でOperational Relay Box(ORB)化されたネットワークの使用は同じく中国と結びついていると考えられるサイバースパイアクターAPT15(Ke3Chang、Nylon Typhoon)の手法と重複しているとされる。

紛争に備えた「事前のアクセス確保(pre-positioning)」?

両キャンペーンの被害組織は業界・地域ともにさまざまだが、いずれも「中国がサイバーまたはキネティックな戦争に向けて準備する中においての戦略的なターゲット」を象徴している点が共通しているとThe Register紙は指摘。SentinelOneの研究者であるTom Hegel氏は同紙の電話インタビューに応じ、世界的な大手メディア組織が攻撃されて特定のトピックに関する沈黙を守らせたり、何らかの話題について報じるのを妨害したりする可能性に言及した上で、「もし彼ら(中国アクター)が敵対勢力のネットワーク—メディア組織や政府機関、または政府事業を請け負う防衛企業—に潜入している場合、紛争が発生した場合にスイッチを切り替えることが可能です」と述べ、こうしたサイバー攻撃が戦時を想定した「事前のアクセス確保」を目的としている可能性を示唆している。

関連記事

ウィークリーサイバーダイジェスト

APT

Silobreaker-WeeklyCyberDigest

国家支援型脅威アクターやサイバー犯罪者がサイバーセキュリティベンダーを攻撃

nosa

nosa

2025.05.02

APT

Silobreaker-WeeklyCyberDigest

関連記事

デイリーサイバーアラート

Ivanti

Silobreaker-CyberAlert

中国

Ivanti CSAゼロデイ悪用、首謀者として最も疑わしきは中国アクター(CVE-2024-8190、CVE-2024-8963他)

佐々山 Tacos

佐々山 Tacos

2024.10.15

Ivanti

Silobreaker-CyberAlert

中国

関連記事

OSINT

APT

OSINT

Silobreaker

中国APTの活動をOSINTで追跡

yoshida

yoshida

2024.12.11

APT

OSINT

Silobreaker

【無料配布中!】ディープ&ダークウェブ関連レポート

弊社が作成したレポートディープ&ダークウェブにおけるSNSアカウント売買とディープフェイクを無料配布中です!

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから:

レポートの内容

第1章:アカウント売買・貸与

  • 中国語アカウントマーケット
  • 英語 Black Hat SEO 関連フォーラム
  • 英語「デジタル権利マーケット」
  • ロシア語 SMM ツールフォーラム
  • 英語暗号資産関連フォーラム
  • ロシア語ハッキングフォーラム

第2章:ディープフェイク

  • DDW で言及されたディープフェイク
  • ディープフェイク関連の特筆すべき投稿

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ