日本組織も感染：中国関連ORBネットワーク「LapDogs」がShortLeashバックドアを展開

佐々山 Tacos

2025.06.24

日本組織も感染：中国関連ORBネットワーク「LapDogs」がShortLeashバックドアを展開

HackRead – June 23, 2025

中国関連の脅威アクターによるものとみられる広範なサイバースパイオペレーション「LapDogs」を、SecurityScorecardのサイバーセキュリティ研究者らが発見。Operational Relay Box（ORB）化されたデバイスのネットワークを構成するため遅くとも2023年9月から実施されているこの活動により、日本や米国、韓国、台湾、香港の組織が主に狙われているという。

LapDogsは中国が拠点のグループによるものと思われるステルス性の高いキャンペーンで、長期的な偵察行為とデータ窃取を主な目的とするもの。早急な侵入を目指す典型的なサイバー攻撃とは異なり、このキャンペーンではORBネットワークと呼ばれるインフラを構築・利用する。ORBとは侵害されたSOHOルーターやIoTデバイスを指すが、検出されにくく長期的に利用可能なインフラを提供するものであり、事業や業務を中断させるためのノイジーな攻撃を仕掛けるために使われるボットネットとは異なっている。近年中国関連のアクターの間ではORBネットワークの利用への関心が急激に高まっているとされ、LapDogsは独立したORBではあるものの、PolarEdgeなどいくつかの中国に関連するほかのORBと共通した部分があるという。

LapDogsのORBネットワークを構成するのは、小規模なオフィスや家庭で日常的に使用されるSOHOルーターおよびIoTデバイス。SecurityScorecardは感染したノードを1,000以上確認しているが、このうち55%（587台）はRuckus Wireless製の旧モデルが占めていたとされる。また107台はBuffalo Technologyのデバイスで、そのいずれも日本（大半は東京）のIPアドレスを使用しているという。国別で見ても、感染したデバイスの台数は米国に次いで日本が2番目に多いと報告されている。

＜以下の上位5か国／地域だけで、感染したデバイス全体の90%近くを構成＞

米国：352台
日本：256台
韓国：226台
台湾：80台
香港：37台

SecurityScorecardは同ORBネットワークに取り込まれた日本の被害組織として、以下を挙げている。

地方自治体の役所
IT・ネットワーキングソリューション企業数社
建築・不動産関連企業

LapDogsキャンペーンの特徴の1つは、「ShortLeash」と呼ばれるカスタムツールが使用される点。ShortLeashは有害なプログラム／バックドアで、LapDogsはこれを利用し、相互に接続されたORBネットワークを維持するのだという。同バックドアはNginxレスポンスをシミュレートするサーバーを実行し、C2サーバーとのやり取り時にはハードコードされたランダムなクエリパラメータを使って密かに活動。また自らの痕跡を隠すさらなる手段として、ロサンゼルス市警（LAPD）のもののように見せかけた偽のセキュリティ証明書を作成するという手法も採用されているという。

ORBネットワークは2組以上の脅威アクターによって異なるいくつかのキャンペーンや攻撃群で共有して使われることがあるため、LapDogsネットワークを運営しているのがどのアクターなのかを判断するのは困難だという。それでもSecurityScorecardは、中国との関連が指摘されるスパイグループUAT-5918が少なくとも1回、台湾でのオペレーション時に同ネットワークを使用したことがあると評価。ただ、UAT-5918が運営者なのか単なるクライアントに過ぎないのかや、ほかの脅威アクターらもLapDogsを使用した／これから使用する可能性があるかどうかなどはまだ確認できていないとのこと。