中国・インド関連の両ハッカーがパキスタンの同一警察組織を標的に
パキスタンの複数法執行機関に対して行われた持続的なサイバースパイ活動について、SentinelOneが報告。この活動には、中国およびインドとの関連が疑われるサイバースパイグループが関与していたものとみられている。
SentinelOneによると、これらのサイバースパイキャンペーンが実施されたのは2024年2月から2026年4月の期間。PlugX、ShadowPad、Cobalt Strike、Remocosの各インフラを運用する中国関連アクターおよびインド関連アクターが、共通してパキスタンの警察関連組織を標的にしていたとされる。特に、バロチスタン州警察に活動は集中しており、2024〜2026年の期間における複数のタイミングでこれらすべての脅威アクターが同警察に対する活動を同時発生的に実施していたという。これらの活動の中で、アクターらは生体情報データベースや刑事事件の記録、人事記録、および市民向けシステムに関連するサーバーに到達したとされる。
また、中国との結びつきを持つとみられるある脅威アクターは、同警察のWebアプリケーションの1つを侵害し、ポータルアップデートを装ったカスタムインプラントを展開したとされる。このアプリケーションは警察スタッフや市民が法執行機関とのやり取りのために使用するアプリであり、これが侵害されることで両ユーザーグループともに脅威アクターの到達可能範囲内に含まれることになったものとみられる。
この活動で注目されるのは、パキスタンとは協力関係にある中国との関連が疑われるサイバースパイアクターの存在。SentinelOneはその背景にある狙いについて、「中国にとって、おそらく第一の懸念事項は自国民の安全だろう」と指摘した。バロチスタン州在住の中国人らは、分離主義勢力「バロチスタン解放軍(BLA)」によるものとされるテロ攻撃で度々標的になっており、パキスタン政府はこれを防ぐことができていない。このため中国政府はパキスタンのみを頼りにするのではなく、独自に脅威分析を行いたいと考えて今回のような脅威情報を直接入手するためのサイバースパイ活動が実施されるに至ったのではないかとSentinelOneは評価している。
他方、インド関連のアクターの動機については、インド・パキスタン間の長年の対立を背景とするものであろうとの見解をSentinelOneは示している。パキスタンはかねてより、インドがバロチスタンの過激派を支援していると非難してきた。インド側はこれを否定しているものの、バロチスタン州警察のネットワークを通じて得られるであろう、パキスタン政府による反乱分子への対応に関する情報は、インド政府の利害においても重要だとみられている。
米CISA、インシデントの最中に対応プレイブックを急遽作成したと明かす 事前に準備できておらず
米CISAは2026年5月のサイバーセキュリティインシデント対応を振り返り、あらかじめ準備しておくべきレスポンス計画を用意できていなかったことを認めた。この結果、CISA職員はインシデントの初期段階の最中に手順書を作成するための時間を取らねばならなかったという。
CISAでは5月、政府システムへのアクセスに使われる機微な認証情報や鍵が公開状態になるというインシデントを経験。これは、同庁の請負事業者がこうした情報を一般にアクセス可能な公開GitHubリポジトリへアップロードしたことに起因するもので、その後CISAは同リポジトリをオフラインにし、漏洩した認証情報をすべて無効化・更新したとされる。
CISAはこのインシデントから得られた「教訓」について伝えるブログ記事で、「インシデント発生時に迅速に対応できるよう、想定されるあらゆるニーズに対応したプレイブックを準備しておくことが重要だ」とコメント。しかしCISA自身はGitHub/クラウドに関するプレイブックの作成を見落としていたため、インシデント発生初期の段階でその作成に時間を費やすことになったと記した。ただ、プレイブックがあらかじめ用意されていなかったことによりどれほどの時間が失われたのかは明かされていない。
CISAはまた、セキュリティ研究者がCISAに潜在的なインシデントを通報するための窓口が「明確に定義されていなかった」ことも反省点の1つとして挙げている。当初この漏洩を発見したセキュリティ研究者は問題を報告しようと請負事業者へのEメールやCISAの脆弱性報告プラットフォームなど複数の連絡手段を試したもののCISAにうまく伝わらず、最終的に著名記者のBrian Krebs氏に報告。Krebs氏経由でCISAへ漏洩が通知されたという経緯があった。CISAはこの反省を踏まえ、研究者が同庁に連絡しやすく、迅速に対応できるよう改善を行ったと述べている。
CISAでは、2025年1月に第2次トランプ政権が始まって以来、常任局長が不在の状態が続いている。また、同庁はトランプ大統領の就任以来、職員の約3分の1に影響を及ぼす予算削減、一時帰休、人員削減の影響も受けてきた。
関連資料をダウンロード

デジタル時代における世界の紛争
地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド
国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...
-300x200.png)
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report
本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...















