Rapid7(NASDAQ: RPD)は2026年3月26日、Rapid7 Labsによる調査報告書「Sleeper Cells in the Telecom Backbone」を発表した。
中国と関係するとされる脅威アクター「Red Menshen」が、世界の通信インフラに長期潜伏し、持続的なスパイ活動を行っていることが明らかになった。同グループはLinuxカーネルレベルのバックドア「BPFdoor」を使用し、暗号化されたHTTPSトラフィックに潜むコマンドで休眠中のマルウェアを起動する手法をとっている。SCTPなどの通信プロトコルを標的とし、4G・5Gネットワーク上の加入者情報や位置情報へのアクセスも確認された。Rapid7は無償のオープンソーススキャニングスクリプトを公開し、影響を受けた可能性のある組織への支援を行っている。
From: 
Rapid7 Labs Identifies State-Sponsored Sleeper Cells Embedded in Global Telecommunications Networks
【編集部解説】
今回の発表が私たちの目を引くのは、単なるサイバー攻撃の報告ではないからです。これは、世界の通信インフラそのものが国家規模の「静かな占領」にさらされているという、現代の安全保障に関わる根本的な警告です。
「スリーパーセル」という言葉は、もともとテロリズムに関する言葉として使われてきた概念ですが、Rapid7 Labsはこれをサイバー空間に適用しました。潜伏・待機・起動——この三段階の設計思想こそが、今回の脅威を従来型のサイバー攻撃と一線を画すものにしています。通信ネットワークは、政府の通信を運び、重要産業を調整し、数十億人のデジタルアイデンティティを支える「デジタル世界の中枢神経」です。その神経の中枢に、検知されることなく寄生し続けること——それが今回確認された攻撃の本質です。
BPFdoorとは何か、なぜ「見えない」のか
BPF(Berkeley Packet Filter)とは、本来LinuxカーネルがネットワークトラフィックをOSの深部で高速に処理するために設計された正規の機能です。BPFdoorはこの機能を悪用し、カーネル内部で直接ネットワークトラフィックを監視しながら、特定の「マジックパケット」を受信したときのみ起動します。通常のポートスキャンツールを使っても、感染したシステムは完全にクリーンに見えます。
さらに、新たに発見された亜種では、正規のHTTPSトラフィックの中にトリガーパケットを隠蔽し、リクエスト内の固定バイトオフセットに「9999」という文字列が現れるように設計された、新しいパース機構が導入されています。暗号化通信の中にコマンドを埋め込む「隠し文字」のような手口であり、現代のセキュリティ監視を根底から回避しようとする意志が読み取れます。クリスティアーン・ビークは「ほとんどのバックドアと異なり、BPFdoorはオープンなポートや持続的な接続に依存しません。通常のネットワークトラフィックの中に隠された悪意ある挙動を特定しようとしているわけで、まるで藁の山の中から、藁に見えて藁の匂いもする針を探すようなものです」と語ります。
Red Menshenとはどのような組織か
Red Menshenは、Earth Bluecrow、DecisiveArchitect、Red Dev 18とも呼ばれる脅威グループで、少なくとも2021年から中東・アジアの通信事業者を標的にしてきた実績があります。今回の調査では、標的となった地域に韓国、香港、ミャンマー、マレーシア、エジプト、中東が含まれており、これらの通信事業者に依存する政府ネットワークへのリスクも波及していることが確認されています。アジア太平洋地域への攻撃実績を踏まえれば、日本の通信インフラも対岸の火事とは言えない状況です。
「スリーパーセル」モデルが示す戦略的意図
クリスティアーン・ビークは「観測した内容に基づけば、最も強力な証拠が示しているのは、即時の破壊ではなく、インテリジェンスの収集と長期的なアクセスの維持だ」と述べています。つまり、この攻撃の目的は今すぐ通信を遮断・破壊することではありません。将来の有事に備え、静かに「鍵」を握り続けることにあります。加入者の位置情報、通信メタデータ、シグナリングシステムへの可視性——これらは平時の諜報活動に使われ、有事には通信インフラそのものを操作する手段にもなりえます。
検知の限界と防衛側が抱える構造的問題
Rapid7が公開したスキャニングスクリプトは既知パターンの検知に有効ですが、進化する亜種を見逃す可能性があり、通常だが例外的な活動を誤検知する場合もあるため、より広範な検知戦略の一部として使用すべきです。クリスティアーン・ビークが指摘するように、この種の脅威は議論の焦点を「除去できたか?」から「システムを再び信頼できるだけの可視性があるか?」へと移行させます。インシデント対応の概念そのものを問い直す視点であり、防衛側に求められる姿勢の根本的な転換を示唆しています。
規制・政策、そして日本への影響
クリスティアーン・ビークは「通信の相互接続された性質を考えると、リスクは単一の市場に限られない。欧州やアジア太平洋地域での関連活動も確認しているが、攻撃者のステルス性のせいで個々の国を特定するには時間がかかる」と語っています。Salt Typhoonによる攻撃が米国の規制強化を促したように、今回の調査は、5Gインフラのセキュリティ基準や通信事業者への監査義務に関する国際的な政策議論をさらに加速させる可能性があります。日本においても、重要インフラのサイバーセキュリティ対策を定めた「経済安全保障推進法」の実効性が、あらためて問われることになるでしょう。
Rapid7が無償のオープンソーススキャニングスクリプトを公開し、各国のCERTとも連携を進めていることは、セキュリティコミュニティが「競争」から「共同防衛」へと向かうポジティブな動きとして評価できます。しかし根本的な問いは残ります——どれだけの「スリーパーセル」が、まだ誰にも発見されていないのか。
【用語解説】
スリーパーセル(Sleeper Cell)
もともとテロリズムの文脈で使われる用語で「潜伏工作員」を指す。サイバーセキュリティの文脈では、感染済みのシステムに長期間潜伏し、命令があるまで活動を行わないマルウェアや不正アクセス手段を指す。検知が極めて困難で、有事の際に起動する設計が特徴。
BPF(Berkeley Packet Filter)
Linuxカーネルに組み込まれたネットワークパケット処理の仕組みで、本来はパケットの高速フィルタリングのために設計された正規の機能だ。ネットワーク解析ツールなどで広く使われている。BPFdoorはこの正規機能を悪用し、カーネル内でトラフィックを密かに監視する。
マジックパケット(Magic Packet)
特定のバイト列を含む、特別に細工されたネットワークパケットのこと。BPFdoorはこれを受信したときのみ起動する仕組みを持ち、通常のポートスキャンツールでは検知されない。外見上は正常なトラフィックと区別がつかない点が最大の脅威。
SCTP(Stream Control Transmission Protocol)
通信ネットワークで使われる専用プロトコルの一つ。4G・5Gネットワークにおいて、加入者の位置情報管理やモバイル端末の認証・接続管理に使用される。このプロトコルを標的にすることで、攻撃者は通信事業者の加入者データに広くアクセスできるようになる。
カーネル(Kernel)
OSの中核をなすソフトウェアで、ハードウェアとアプリケーションの橋渡し役を担う。カーネルレベルで動作するマルウェアは、通常のセキュリティツールよりも深い階層に潜伏するため、検知・除去が著しく困難になる。
Salt Typhoon / Volt Typhoon
中国と関連するとされる別々のサイバー脅威グループ。Salt Typhoonはアメリカやカナダを中心に世界各国の通信事業者への侵入で知られ、Volt TyphoonはアメリカのCISAが警告した重要インフラへの長期潜伏型攻撃を行うグループ。Red Menshenとは別組織だが、同様の長期潜伏型の手口が確認されている。
CERT(Computer Emergency Response Team)
各国政府や機関が設置するサイバーインシデント対応の専門組織。日本ではJPCERT/CCが相当する。Rapid7は今回の調査において影響を受けた可能性のある組織への通知と支援のために、各国のCERTと連携して活動している。
インプラント(Implant)
標的システムに埋め込まれた悪意あるプログラムの総称。攻撃者が後からリモートでアクセス・制御できるよう設計されており、BPFdoorはその中でも特に検知が難しい「パッシブ型インプラント」に分類される。
【参考リンク】
Rapid7 公式サイト(日本語)(外部)
AIを活用したサイバーセキュリティ企業。脅威検知・対応・脆弱性管理を統合し、世界11,500社以上に提供する。
Rapid7 Labs 調査レポート「BPFdoor in Telecom Networks: Sleeper Cells in the backbone」(外部)
今回の報道の一次情報源。BPFdoorの技術詳細・攻撃手法・検知スクリプトを網羅した公式レポート。
RSAC 2026(RSA Conference)(外部)
世界最大規模のサイバーセキュリティカンファレンス。今回の調査は2026年3月26日、サンフランシスコで発表された。
【参考記事】
China-Linked Red Menshen Uses Stealthy BPFDoor Implants to Spy via Telecom Networks|The Hacker News(外部)
Red MenshenのBPFdoor二層構造・新亜種の「9999」マーカー隠蔽手法・ICMP通信など技術詳細を詳述した専門レポート。
Espionage campaign targets telecom with stealthy Linux-based backdoor|Cybersecurity Dive(外部)
Salt Typhoon・Volt Typhoonとの比較を通じ、Red Menshenの手口の進化と長期潜伏型攻撃の本質を分析した記事。
Researchers release tool to detect stealthy BPFDoor implants|Help Net Security(外部)
公開されたスキャニングスクリプトの有効性と限界を防衛側の視点から詳説。誤検知リスクと運用上の留意点を記載する。
Hackers Plant Stealthy BPFdoor Backdoors in Telecom Networks for Long-Term Access|CybersecurityNews(外部)
韓国・香港・ミャンマーなど具体的な標的地域と、HPE・Docker偽装手法・侵入経路を詳述した技術レポート。
China-linked Red Menshen hides inside telecoms networks|Telco News(外部)
欧州・アジア太平洋での関連活動確認と、国家レベルでの帰属特定が調査中であることを伝える通信業界専門メディアの記事。
【編集部後記】
あなたが今日使ったスマートフォン、送ったメッセージ、接続したネットワーク——その通信経路のどこかに、すでに「誰か」がいるとしたら、どう感じるでしょうか。私も、この調査を読んで同じ問いを抱きました。セキュリティはもはや専門家だけの話ではなく、インフラとして私たちの社会全体に関わるテーマです。みなさんはどう思われますか?
