日本も標的に：新たなサイバースパイグループが37か国の政府システムや重大インフラ組織に侵入

佐々山 Tacos

2026.02.06

日本も標的に：新たなサイバースパイグループが37か国の政府システムや重大インフラ組織に侵入

The Record – February 5th, 2026

アジアを拠点とするサイバースパイグループが、2025年に37か国の政府システムや重大インフラ組織に侵入していた上、同年11月〜12月にかけて155か国に対して偵察のためのスキャン活動を行っていたとPalo Alto NetworksのUnit 42が報告。「Shadow Campaigns」と名付けられたこのスパイキャンペーンは、SolarWinds以来の「最も広範かつ重大」な政府インフラの侵害活動であると思われるという。

TGR-STA-1030

Unit 42は、Shadow Campaignsキャンペーンの背後にいるグループを「TGR-STA-1030（UNC6619）」として追跡。同グループを特定の国に関連づけることはしなかったものの、以下のような根拠に基づいて「アジアを拠点とする国家と結びついた組織」だろうとの見方を明かしている。なおこの評価は、「高い確度」でなされているという。

アジア地域に関連するツール類やサービス類を頻繁に利用している点
言語設定の嗜好
標的選択・攻撃およびタイミングが、アジア地域の利害に関わる事象や情報に常時連動している点
上流でアジア発の運用インフラへ接続している点
アクターの活動が、アジア地域のタイムゾーンであるGMT+8に常時連動している点（なお日本のタイムゾーンはGMT+9）

Unit 42は、2025年2月にヨーロッパの政府組織を標的としたフィッシングキャンペーン群を調査していた際に、初めてTGR-STA-1030を観測。調査を進めるうちに、2024年1月から使われていた同アクターのインフラの発見に至った。このことから、TGR-STA-1030の活動期間は少なくとも2年間以上あるものとみられる。

フィッシングとDiaoyuローダー

Unit 42が2月に調査したヨーロッパ政府組織に対するフィッシングキャンペーン群では、政府関係者のEメールアドレス宛に、省庁や部門の再編について伝える内容の文章がルアーとして送られていた。このメールの文中には、「再編後の新たな組織構造」に関するファイルとされるものへのリンクが掲載されているが、これをクリックすると悪意あるアーカイブファイルがダウンロードされることになるという。

Diaoyuローダー

このアーカイブファイルは、標的となった各国・省庁の言語や命名規則に合わせた内容になっており、エストニア政府関連機関が標的になったとみられるケースでは、「Politsei- ja Piirivalveameti organisatsiooni struktuuri muudatused.zip」というファイル名だったとされる。このアーカイブは公開マルウェアリポジトリにアップロードされたものであり、和訳すると「警察・国境警備庁の組織再編.zip」という意味になる。

アーカイブを分析したUnit 42によると、中にはアーカイブと同名の実行ファイルと、「pic1.png」というゼロバイトのファイルが含まれていたとされる。また実行ファイルのメタデータをレビューしたところ、元のファイル名が「DiaoYu.exe」だったことも判明。「Diaoyu」は中国語で「釣り」の「フィッシング（fishing）」と詐欺の一種である「フィッシング（phishing）」、両方のフィッシングを意味する単語だという。

この実行ファイル（Diaoyuローダー）は、自動化されたサンドボックス分析を回避するための二段階の実行ガードレールを有する。第一段階は、水平解像度が1440以上であるというハードウェア条件を設定することで、この条件が成立しづらい仮想環境や解析用VMを回避するというもの。第二段階のガードレールは、実行環境内にpic1.pngが存在することをチェックするというもので、もしもマルウェアがpic1.pngなしで単体でサンドボックスへ投入された場合、プロセスは終了することになる。

サンドボックス環境でないことを確認すると、Diaoyuローダーはいくつかのサイバーセキュリティ製品の有無を確認したのち、GitHubから3件のファイルをダウンロード。これらのファイル上で一連のアクションを実行したのち、最終的にCobalt Strikeペイロードをインストールするという。

フィッシングと脆弱性悪用

フィッシングの手法に加えて、Unit 42はTGR-STA-1030が多様なツール類、エクスプロイトキットのほか、多数の地域で利用されている各種製品の既知の脆弱性に対するPoCエクスプロイトコードを取り入れていることを発見している。

Unit 42によれば、同アクターはどれか特定のソフトウェアまたはハードウェアを重点的に狙うということはせず、標的とする環境で使われているソフト／ハードウェアに応じて手段を調整しているという。

TGR-STA-1030が用いるツール類としては、Cobalt Strike・VShell・Havoc・SparkRat・ SliverなどのC2フレームワークのほか、Behinder・Neo-reGeorg・GodzillaなどのWebシェル、GOST・FRPS・IOXなどのトンネリングツールなどの使用が確認されている。またUnit 42は、新たなLinuxカーネルルートキット「ShadowGuard」も発見。ShadowGuardはステルス性の高いeBPFバックドアで、現時点ではTGR-STA-1030だけが独占的に使用しているツールだとみられるという。

広範なターゲット

Shadow Campaignsキャンペーンで最も象徴的な点とされるのが、そのターゲット範囲の広範さ。Unit 42によれば、TGR-STA-1030は2025年11月〜12月の機関だけで、155か国に対してインフラへのスキャンを実施しているとされる。なお、同社のブログ記事に掲載されたマップによれば、この155か国には日本も含まれている。

Unit 42はまた、2025年の1年間でTGR-STA-1030が侵害にまで成功したケースも複数観測。世界37か国の、少なくとも70の組織が同グループにより侵害され、うちいくつかのケースでは、数か月間にわたって不正なアクセスが維持されていたという。なお、Unit 42が共有したマップ画像によれば、この37か国にも日本が含まれている模様。

侵害された組織には、各国の内務や外務、財務、貿易、経済、移民、鉱業、司法、エネルギーに関連する官公庁が含まれるとされる。ある国では議会が侵害されたケースもあるほか、別の国では上級選出公職者が、また、別のケースでは国家レベルの通信会社が侵害されたという。また、複数の国家警察・対テロ組織も被害に遭ったとされる。

Unit 42は、このグループの目的はおそらくスパイ行為だろうとしながらも、その手法やターゲット、活動規模は懸念すべきレベルであり、「国家安全保障や主要サービスに関する長期的な結果」がもたらされる恐れもあると指摘した。

地政学的事象との連動

Unit 42は、いくつかの攻撃と物理世界での出来事との間には相関性が見受けられることを発見。例えば、2025年10月に米国連邦政府が政府機関を一時的に閉鎖した際、TGR-STA-1030はスキャンの対象を北・中・南米の国々（ブラジル、カナダ、ドミニカ共和国、ジャマイカ、メキシコ、パナマなど）へシフトさせたとされる。

また、ボリビアで2025年10月に行われた大統領選では鉱業権の問題が主要な争点となったが、TGR-STA-1030が侵害した組織には、ボリビアの希土類鉱物（レアアース）関連鉱業企業が含まれるとされる。同グループはまた、世界第2位の希土類鉱物埋蔵量を誇るブラジルの鉱山エネルギー省のネットワークにも侵入しているという。

さらに、米国によるベネズエラ侵攻の翌日には、ベネズエラ政府が所有する少なくとも140のIPアドレスに対し、広範な偵察スキャン活動が実施されていた。