中国のAPTグループがArcGISをバックドア化、検出を1年間以上回避

nosa

2025.10.15

10月15日：サイバーセキュリティ関連ニュース

中国のAPTグループがArcGISをバックドア化、検出を1年間以上回避

The Register – Tue 14 Oct 2025

中国の国家支援型サイバー脅威組織「Flax Typhoon」が1年以上前からArcGISのサーバーに侵入し、この信頼性の高い地図ソフトウェアをバックドアに改造していたと報じられた。

セキュリティ企業ReliaQuestが発表したブログ記事によると、Flax Typhoonは正規のJavaサーバーオブジェクトエクステンション（SOE）を改変してWebシェルに転用し、ハードコードされたキーでアクセスを制限した上、これをバックアップに埋め込んで検出を回避し、永続性を維持していたという。このグループは中国拠点の国家支援型アクターとしてマイクロソフトに追跡されている。

ArcGISは地理空間分析、インフラ計画、環境モニタリングなど幅広い分野で利用されているため、侵入されると深刻なリスクを伴うとのこと。「環境寄生型（LOTL：Living off the Land）」の手法や正当なツール、最小限のカスタムマルウェアでステルス性の高い永続性を維持する手口は、マイクロソフトが以前に指摘したFlax Typhoonのものと一致しており、この事例も過去に文書化されている同グループのボットネット活動と共通点があると記された。

FBIは2024年9月、Flax Typhoonが運営する同ボットネットを停止させ、北京に拠点を置くIntegrity Technology Groupによって操作されていたことを公開した。この活動はより広範な侵入キャンペーンと関連付けられており、Integrity TechはFlax Typhoonのサイバー侵入を支援したとして米当局の制裁を受けている。

デイリーサイバーアラート

APT

Salt Typhoon

Silobreaker-CyberAlert

中国の「Typhoon」ハッカーグループ：Volt Typhoon、Flax Typhoon、Salt Typhoonの概要や注目ポイント

佐々山 Tacos

2025.01.07

APT

Salt Typhoon

Silobreaker-CyberAlert

重複するCVEのクレジットを巡ってセキュリティ企業が対立

BleepingComputer – October 14, 2025

サイバーセキュリティ企業FuzzingLabsがスタートアップ企業Gecko Securityに対し、自社の脆弱性開示情報をコピーしただけでなく、ブログ記事の日付を実際より古いように見せかけているとして非難した。

FuzzingLabsによると、Gecko Securityは自社が以前開示した脆弱性2件に対してCVEを申請しただけでなく、「PoCをコピーして再提出し、クレジットを横取りした」という。Gecko Security側は不正行為を否定し、これらの申し立ては開示プロセスに関する誤解によるものだと主張している。

FuzzingLabsが言及した脆弱性は以下の2件になる。

Ollama（ollama/ollama）のサーバー認証トークン窃取の脆弱性：最初のレポートは2024年12月24日に提出、後にCVE-2025-51471が割り当て
Gradio（gradio-app/gradio）のフラグ機構を介した任意のファイルコピーとサービス拒否（DoS）：最初のレポートは2025年1月16日に提出、後にCVE-2025-48889が割り当て

さらに、FuzzingLabsはGeckoがエクスプロイトを一行ずつコピーした「疑う余地のない証拠」があると述べ、「当社の作業を特定するために意図的に挿入した固有のフィンガープリント」が含まれていると付け加えた。

Gecko側は盗用ではなく意図せぬ重複であるとし、ワークフローにおいてはサードパーティのプラットフォームを介さずプロジェクトメンテナーと直接調整していることを強調。しかしセキュリティコミュニティの一部からは、Geckoの説明に疑問を呈する声が上がっているようだ。