中国のAPTがサプライチェーン攻撃に「Airstalk」マルウェアを使用か

nosa

2025.11.04

2025年10月31日〜11月4日：サイバーセキュリティ関連ニュース

中国のAPTがサプライチェーン攻撃に「Airstalk」マルウェアを使用

BleepingComputer – November 3, 2025

パロアルトネットワークスの報告によると、中国との関連が疑われるAPTグループCL-STA-1009が、AirWatch APIを悪用するマルウェアファミリーを展開しているという。このマルウェアは、ビジネスプロセスアウトソーシング（BPO）企業を踏み台にしたサプライチェーン攻撃で使用された可能性が高いとみられる。

BPO企業は通常、顧客ネットワーク内の重要な業務システムへのアクセス権限を持っているため、複数の標的環境へのゲートウェイとしてサイバー犯罪者や国家支援型ハッカーに狙われるケースが増えているようだ。パロアルトネットワークスが観測したCL-STA-1009の攻撃では、マルウェアファミリー「Airstalk」の亜種が2件確認された。

その1つはPowerShell、もう一方は.NETで記述されているとのこと。前者はC2からコマンドを受信してスクリーンショットの取得やユーザーディレクトリ内のファイルの列挙、Chromeからのデータ窃取などを実施できる一方、後者はわずかに異なる通信チャネルを使用。性能もPowerShell版より優れており、ChromeだけでなくMicrosoft EdgeやIsland Browserからブラウザデータを窃取できるほか、Chrome内でURLを開くことも可能だという。ただし、モバイルデバイス管理（MDM）用のAirWatch APIを悪用してコマンド＆コントロール（C&C）サーバーとの隠れ通信チャネルを確立する点や、マルチスレッド通信プロトコルを採用している点、盗まれた可能性が高い証明書で署名されている点は両方に共通することが判明している。

パロアルトネットワークスは「CL-STA-1009は国家支援型と思われるアクターの活動を示す脅威活動クラスターであり、Airstalkマルウェアとの関連が指摘されている。当社は中程度の確度で、このマルウェアがサプライチェーン攻撃に使われたと評価している」と述べた。

英国の飲料水供給業者がハッカーに狙われる

The Record – November 3rd, 2025

英国の飲料水供給業者は昨年初め以降、少なくとも計5件のサイバー攻撃を受けていたことが判明した。同国の飲料水監視局（DWI）に提出され、情報公開法に基づいてRecorded Future Newsに一部開示された報告書で明らかになっている。

こうした攻撃は飲料水の安全な供給そのものに影響を与えなかったが、供給網を支える複数の組織に影響を及ぼしたという。5件という報告件数はここ2年間で過去最多であり、8月に英当局が警告したように、同国の重要インフラに対する脅威が増していることを浮き彫りにしているとThe Recordは指摘した。なおこれらの報告は、英国の飲料水システムの安全を規定する広範な法的枠組みの一部であるNIS規則に基づいて送信されている。

DWIが公開したデータによると、2024年1月1日から2025年10月20日までの間に供給業者から受けた報告は15件。サイバーセキュリティ関連の事例はそのうち5件だけで、そのほかは運用上生じた非サイバーの問題だったとされる。ただ、これらのインシデントのさらなる詳細については明かされていないという。

現在、NIS規則で報告対象となるインシデントは重要サービスに障害が発生したものに限定されており、上記5件のサイバー関連インシデントはこの要件に該当していなかった。それにもかかわらず、情報共有目的でこれほど多くの報告がなされたことは前向きな兆候と受け止められているようだ。ただし英当局は、長らく審議が続いているサイバーセキュリティおよびレジリエンス法案を通じて年内にこの報告基準を修正するとみられている。