世界中のネットワークに潜伏し、情報を窃取していたPlugXマルウェア。FBIとフランス警察の連携により、その脅威がついに終止符を打たれました。背後にいるとされる中国のハッカー集団『Mustang Panda』の実態とは？

FBIと米国司法省は2025年1月14日、中国政府支援のハッカー組織「Mustang Panda（別名：Twill Typhoon）」が開発したマルウェア「PlugX」の駆除作戦完了を発表しました。

作戦の詳細

– 実施期間：2024年8月から2025年1月3日
– 対象：米国内の4,258台のコンピュータとネットワーク
– 主導：フランス警察とサイバーセキュリティ企業Sekoia.io
– 実行方法：9件の令状に基づき、マルウェアの自己削除機能を利用

攻撃グループの活動

– 2012年から活動を開始
– 主な標的：欧州の海運会社（2024年）、欧州政府機関（2021年-2023年）、アジア太平洋地域の政府機関
– USBポートを介した感染拡大機能を2020年に追加

from:FBI Wraps Up Eradication Effort of Chinese ‘PlugX’ Malware

【編集部解説】

PlugXマルウェアは、2008年から中国のサイバー攻撃グループによって使用されてきた高度な遠隔操作型トロイの木馬（RAT）です。今回の事例で特筆すべきは、USBドライブを介して感染を拡大する「ワーム機能」が追加されていた点です。

この感染力の高さは、セキュリティ企業Sekoiaの調査で明らかになっています。1日あたり約10万台のデバイスと通信を行い、半年間で170カ国、250万件以上の接続を記録したことからも、その規模が分かります。

今回の対策作戦の革新性

今回のFBIの作戦で注目すべきは、マルウェアに内蔵された「自己削除機能」を逆手に取った点です。これは、サイバー攻撃対策における新しいアプローチと言えます。

フランスのセキュリティ企業Sekoia.ioは、わずか7ドルでC2（コマンド＆コントロール）サーバーのIPアドレスを取得し、制御を奪取することに成功しました。これは、サイバーセキュリティ対策にかかるコストと効果の観点から、非常に効率的な手法だったと評価できます。

今後の課題と対策

しかし、完全な駆除には課題も残されています。特に以下の2点が重要です：

1. エアギャップネットワーク（インターネットに接続されていない隔離されたネットワーク）上の感染は、今回の手法では対処できません。
2. USB機器に潜伏したマルウェアは、PCに接続されていない限り削除できません。

企業や組織への提言

このような事例から学べる教訓として、以下の対策が重要です：

1. USBデバイスの取り扱いに関する明確なセキュリティポリシーの策定
2. エンドポイントセキュリティの強化
3. 定期的なセキュリティアップデートの実施

将来への展望

今回の国際的な協力体制は、サイバーセキュリティにおける新しいモデルケースとなる可能性があります。特に、民間企業（Sekoia.io）と法執行機関（FBI、フランス警察）の連携は、今後のサイバーセキュリティ対策のあり方を示唆しています。

【用語解説】

• PlugX（プラグエックス）
  2008年から使用されている遠隔操作型マルウェア。システム情報の収集、ファイルの操作、キーロギング、コマンド実行などの機能を持ちます。
• Mustang Panda（マスタング・パンダ）
  2012年から活動する中国政府系ハッカー集団。主にアジア太平洋地域の政府機関や重要インフラを標的としています。

【参考リンク】

1. Sekoia.io（外部）
   フランスのサイバーセキュリティ企業。PlugXマルウェアの分析と対策を主導
2. FBI Cyber Crime（外部）
   FBIのサイバー犯罪対策部門による最新の脅威情報と対策指針を提供

【参考YouTube】

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む