国関連の脅威アクター「Jewelbug」が、2025年1月から5月にかけてロシアのITサービスプロバイダーに侵入したと、Symantecが報告した。JewelbugはEarth AluxやCL-STA-0049とも呼ばれる。
攻撃者はYandex Cloudへデータを窃取していた。このグループは2025年7月には南米の政府機関、2024年には南アジアのITプロバイダーや台湾企業も標的としていた。
攻撃にはバックドアの「FINALDRAFT」や「ShadowPad」、認証情報窃取ツール「Mimikatz」、トンネリングツール「EarthWorm」などが使用された。
台湾の国家安全保障局も中国によるサイバー攻撃の増加を警告している。
From: 
[translate:Chinese Threat Group ‘Jewelbug’ Quietly Infiltrated Russian IT Network for Months]
【編集部解説】
今回取り上げるニュースは、単なるサイバー攻撃の報告ではありません。国家間の水面下での力学の変化と、サイバー攻撃の進化を示す、非常に重要な兆候と言えるでしょう。
「中国のハッカーがロシアを攻撃した」と聞くと、遠い国の地政学的な話のように聞こえるかもしれません。しかし、私たちが本当に注目すべきは、その手口の巧妙さと、攻撃対象が持つ戦略的な意味です。これは、明日の日本のテクノロジー企業が直面するかもしれない、未来の脅威の縮図なのです。
今回の攻撃で狙われたのは、ロシアのITサービスプロバイダーでした。これは「サプライチェーン攻撃」と呼ばれる手法の典型です。ITインフラを支える企業一つを掌握すれば、その顧客である多くの企業に一斉に不正なプログラムを送り込める可能性があります。
蛇口を汚染して、そこから供給される全ての水を汚染するようなもので、非常に効率的かつ影響が甚大になる攻撃手法です。
さらに巧妙なのは、攻撃者がその痕跡をいかに隠しているか、という点です。彼らはMicrosoft Graph APIやOneDrive、ロシアで広く使われているYandex Cloudといった、私たちが日常的に利用する正規のクラウドサービスを悪用していました。
これは、大勢の人が行き交う雑踏の中に紛れ込んで目的を遂げるようなもの。従来のセキュリティ対策では、この「普通の通信」に偽装した攻撃を見抜くことは極めて困難になっています。
そして、このニュースが示す最も興味深い視点は、中国とロシアの国際関係です。両国は近年、政治的・経済的に連携を強めていると報じられていますが、サイバー空間では話が別でした。
この事実は、サイバー諜報活動が、政治的な友好ムードとは無関係に、純粋な国益(情報収集)を優先して行われるという冷徹な現実を浮き彫りにしています。もはや「同盟国だから攻撃されない」という常識は通用しない時代なのです。
私たち日本の企業や技術者にとって、これは決して対岸の火事ではありません。日本は常にサイバー攻撃の主要な標的の一つであり、今回使われたような高度なサプライチェーン攻撃や、正規サービスに紛れ込む手口は、いつ私たちの身に降りかかっても不思議ではないのです。
これからのセキュリティは、ウイルスの侵入を入り口で防ぐだけでなく、「侵入されること」を前提として、内部の不審な動きを素早く検知し対応する「ゼロトラスト」と呼ばれる考え方がより一層不可欠になります。未来の技術に触れ、その進化を推進する私たちは、その光だけでなく、こうした影の部分にもしっかりと目を向け、備えていく必要があります。
【用語解説】
サプライチェーン攻撃
攻撃対象の企業を直接狙うのではなく、その企業のビジネスに関わるセキュリティ対策が手薄な関連会社やソフトウェア開発元などを踏み台にして、最終的な標的に侵入するサイバー攻撃の手法である。
バックドア
一度侵入したシステムに、再度簡単に侵入できるように攻撃者が設置する裏口のこと。正規の認証プロセスを迂回して、システムへ不正にアクセスするために利用される。
ShadowPad
中国関連の複数のサイバー攻撃グループによって使用が確認されている、モジュール式の強力なバックドア型マルウェアである。標的のシステム情報を窃取したり、コマンドを実行したり、ファイル操作を行ったりと、多彩な不正活動が可能となる。
Mimikatz
Windowsシステムのメモリ上からパスワードや認証情報(ハッシュ、チケットなど)を窃取するために開発されたオープンソースのツールである。元々はセキュリティ研究目的だったが、現在では攻撃者によって権限昇格などの目的で広く悪用されている。
Cobalt Strike Beacon
本来はセキュリティチームがシステムの防御能力をテストするために用いる「ペネトレーションテストツール」であるCobalt Strikeの一部機能である。しかし、攻撃者によって悪用され、遠隔操作や情報窃取を行うためのペイロードとして機能することが多い。
ゼロトラスト
「何も信用しない」という前提に立ち、社内・社外のすべての通信を検証し、脅威の侵入を防ぐセキュリティの考え方である。アクセスするたびに、デバイスやユーザーの正当性を厳格に確認することで、万が一侵入された場合でも被害を最小限に抑えることを目的とする。
【参考リンク】
Symantec (Broadcom)(外部)(外部)
今回の攻撃を報告したセキュリティ企業[translate:Symantec]の事業ページ。法人向けに多岐にわたるサイバーセキュリティ製品を提供している。
Yandex Cloud(外部)
ロシアの大手IT企業[translate:Yandex]が提供するクラウドサービス。今回の攻撃ではデータの窃取先として悪用された。
Microsoft Graph API(外部)
[translate:Microsoft 365]のデータへアクセスするためのAPI。攻撃者は正規APIを悪用し、不正通信を偽装していた。
【参考動画】
【参考記事】
You’ve Got Malware: FINALDRAFT Hides in Your Drafts(外部)
攻撃に使われたバックドア「FINALDRAFT」をElastic社が解説。技術的な巧妙さを理解するのに役立つだろう。
【編集部後記】
今回のニュースは、サイバー空間が国同士のリアルな力関係とは別の論理で動いている現実を突きつけています。友好関係にある国でさえ、情報収集の対象となりうるのです。
このような「見えない脅威」に対し、私たちはどう向き合えばよいのでしょうか。自社や自身のセキュリティ対策を改めて見直すきっかけにするのはもちろん、こうした世界の動きそのものに関心を持ち続けることが、未来の不確実性を乗り越える第一歩になるのかもしれません。
皆さんは、この記事を読んで何を感じましたか?ぜひ、ご自身の仕事や生活と結びつけて考えてみてください。
