2025年2月19日、セキュリティ企業LAC(株式会社ラック)は、中国関連のサイバー攻撃グループ「Winnti」による日本企業を標的とした新たなサイバー攻撃キャンペーン「RevivalStone」を確認したと発表した。
Winntiは2012年から活動を開始し、2022年頃からアジアの製造業・材料関連組織への攻撃を本格化させている。今回の攻撃では、日本の製造業、材料産業、エネルギー部門の企業が標的となっている。
攻撃者は以下のマルウェアを使用
- DEATHLOTUS
- UNAPIMON
- PRIVATELOG
- CUNNINGPIGEON
- WINDJAMMER
- SHADOWGAZE
攻撃手法
- IBM Lotus Dominoの脆弱性を悪用
- 企業基幹システムのSQLインジェクション攻撃
- Webシェルの設置
LACの調査により、このグループは中国のAPT41グループのサブグループ「Earth Freybug」と活動が重複していることが判明した。新バージョンのWinntiマルウェアには、難読化技術、新しい暗号化アルゴリズム、セキュリティ製品の検知回避機能が実装されており、マネージドサービスプロバイダーへの攻撃能力も備えている。
from:China-Linked Threat Group Targets Japanese Orgs’ Servers
【編集部解説】
今回のRevivalStoneキャンペーンについて、複数の情報源から詳細な分析結果が明らかになっています。以下、innovaTopiaの視点から重要なポイントを解説させていただきます。
まず注目すべきは、この攻撃の発見時期と報告までのタイムラインです。2024年3月に最初の攻撃が確認され、その後約半年をかけて詳細な分析が行われました。セキュリティ研究者たちは10月のVirus Bulletin Conferenceで初めてこの攻撃の詳細を公開し、その重要性を世界に警告しています。
特筆すべき点として、今回のキャンペーンではマネージドサービスプロバイダー(MSP)を経由した新しい攻撃手法が確認されています。これは、1社のシステムを侵害することで、そのMSPのインフラを利用している複数の企業にまで被害が波及する可能性があることを示しています。
技術面では、WinntiマルウェアがAESやChaCha20という最新の暗号化アルゴリズムを採用し、デバイス固有の情報を復号キーとして使用するなど、高度な改良が加えられています。これは、従来のセキュリティ対策をすり抜けるための巧妙な手法といえます。
また、「TreadStone」という名称の発見は、2024年に流出したi-Soonデータとの関連性を示唆しており、攻撃グループの実態解明における重要な手がかりとなっています。
この攻撃が製造業、素材産業、エネルギー部門を標的としている点は、産業スパイ活動の一環である可能性を強く示唆しています。特に日本企業が保有する先端技術や知的財産が狙われている可能性があります。
対策という観点では、ERPシステムのSQLインジェクション脆弱性が初期侵入に使用されているため、基幹システムのセキュリティ強化が急務となっています。特に、複数の組織で共有されているインフラやアカウントの管理体制の見直しが重要です。
長期的な視点では、このような高度な攻撃に対して、個々の企業による対策だけでなく、業界全体でのセキュリティ情報共有や、MSPを含むサプライチェーン全体でのセキュリティ強化が必要となってくるでしょう。
【用語解説】
【参考リンク】
- LAC(株式会社ラック)(外部)
日本のセキュリティ企業。今回のRevivalStone攻撃を発見・分析した企業。 - HCL Notes/Domino(外部)
グループウェア用のミドルウェア。今回の攻撃で脆弱性が悪用された製品。