中国APT請負業者iSoonとFishMonger：国家支援型ハッカーが狙うNGOとシンクタンク

2025年3月25日8:18

サイバーセキュリティニュース

中国APT請負業者iSoonとFishMonger：国家支援型ハッカーが狙うNGOとシンクタンク - innovaTopia - （イノベトピア）

Last Updated on 2025-03-25 10:50 by admin

中国のハッカーグループ「FishMonger」（別名「Aquatic Panda」）が、中国政府の契約のもとで世界各国の政府組織、NGO、シンクタンクなどを標的にした「FishMedley」と呼ばれるスパイ活動を行っていることがESET社の調査で明らかになった。

米国司法省は2025年3月初旬にFishMongerのメンバーをFBI最重要指名手配リストに追加した。

このグループは中国のAPT（高度持続的脅威）請負業者「iSoon」（別名「Axun Information Technology」）の下で活動している民間ハッカー集団である。iSoonは上海に拠点を置き、サイバーセキュリティトレーニング提供者を装っているが、実際には中国の公安部、国家安全部、人民解放軍などの政府機関のためにハッカー請負サービスを提供している。

FishMedleyキャンペーンは台湾、ハンガリー、トルコ、タイ、米国、フランスなどの国々の組織を標的にしている。ESET社の研究者マシュー・ファウによると、FishMongerは特に高度な技術を使用しているわけではないが、効率的に任務を遂行している。彼らは「ShadowPad」という中国関連グループが使用することで知られている一般的なバックドアツールを利用し、「Spyder loader」や「SodaMaster loader」、「RPipeCommander」というリバースシェルも使用している。

ESETの調査では、FishMongerの初期侵入方法は特定できていないが、多くの場合、高い権限を持つユーザーのコンピューターを侵害することでドメイン管理者の認証情報を取得していると推測されている。このグループの目的は主に機密情報の窃取であり、特に中国やアジアに関連する研究や活動を行っているNGOやシンクタンク、アジア・ヨーロッパ・北米の防衛企業や政府機関が最も一般的な標的となっている。

iSoon APT作戦は2024年2月に、中国政府がどのように民間部門のハッカーを採用してサイバースパイ活動を行わせているかを示す大量の文書が流出したことで発覚した。

from:Chinese Hacker Group Tracked Back to iSoon APT Operation

【編集部解説】

今回報じられたFishMongerとiSoonの事例は、現代のサイバー攻撃が単に技術的な脅威ではなく、政治的・経済的な背景を持つ組織的な活動であることを改めて示しています。

ESETの報告は2025年3月に公開されましたが、iSoon（Axun Information Technology）に関する文書流出は2024年2月に発生しました。この流出で明らかになったのは、中国政府が民間企業を「フロント」として利用し、サイバースパイ活動を行わせている実態です。これは国家が直接関与するよりも責任追及を逃れやすいという狙いがあると考えられています。

興味深いのは、FishMongerが特に高度な技術を持っているわけではないという点です。彼らは既知のツールを活用し、ゼロデイ脆弱性といった高度な手法に頼らずに効率的に目的を達成しています。これはサイバー攻撃において、必ずしも最先端の技術が必要ではないことを示唆しています。

実際、ShadowPadというバックドアツールは2017年頃から活動が確認されており、中国関連のサイバー攻撃で頻繁に使用されています。古いツールでも効果的である理由は、多くの組織がサイバーセキュリティの基本的な対策を徹底できていないからです。

FishMongerの標的がNGOやシンクタンクに向けられていることも注目すべきポイントです。これらの組織は政府機関や大企業と比べてセキュリティ予算が限られている一方で、政策立案に影響を与える重要な情報を保有しています。特に中国やアジア関連の研究を行う組織が狙われているのは、それらの情報が中国政府にとって戦略的価値があるためです。

日本の組織も決して例外ではありません。日本は地理的にも政治的にも中国と近い関係にあり、アジア太平洋地域における重要なプレイヤーです。実際、過去には日本の政府機関、防衛関連企業、研究機関が中国関連のAPTグループによる攻撃を受けた事例が多数報告されています。

このような国家支援型のサイバー攻撃に対抗するには、技術的な防御だけでは不十分です。組織はセキュリティ意識の向上、多層防御の導入、異常検知の強化などの包括的なアプローチが必要になります。

また、この事例は国際的なサイバーセキュリティの法的枠組みの弱さも浮き彫りにしています。国家が民間企業を通じてサイバー攻撃を行う「プロキシ戦争」が増加する中、効果的な国際規範の確立が急務となっていることも忘れてはなりません。

技術の進化に伴い、こうした攻撃はさらに巧妙化することが予想されます。AI技術の発展により、攻撃の自動化や標的の絞り込みがより精緻になる可能性もあります。企業や組織は、これを単なるITセキュリティの問題ではなく、事業継続や国家安全保障にかかわる重要課題として捉える必要があるでしょう。

【用語解説】

APT（Advanced Persistent Threat / 高度持続的脅威）：
特定の組織や国家を長期間にわたって標的とする高度なサイバー攻撃。一般的なサイバー犯罪と異なり、特定の情報を狙って執拗に攻撃を続ける。例えるなら、一般の窃盗犯が家の中に入れそうな家を次々と試すのに対し、APTは特定の家の設計図を研究し、警備の交代時間を把握して、何ヶ月もかけて侵入する強盗団のようなものである。

バックドア：
正規のアクセス方法を迂回してコンピュータシステムに侵入するための不正な経路。

ShadowPad：
中国関連のハッカーグループが使用する代表的なバックドアツール。コンピュータに潜伏し、遠隔操作を可能にする。2017年頃から活動が確認されている。

iSoon / Axun Information Technology：
上海に拠点を置く中国の企業で、表向きはサイバーセキュリティトレーニングを提供しているが、実際は中国政府機関のためのハッカー請負業者として機能している。2024年2月の文書流出で実態が明らかになった。

ゼロデイ脆弱性：
ソフトウェアの開発者にも知られていない、まだ修正パッチが提供されていない脆弱性。攻撃者にとって非常に価値が高い。「ゼロデイ」とは、開発者が脆弱性を認識してから修正するまでの時間が「0日」であることを意味する。

【参考リンク】

ESET（外部）
チェコを拠点とするグローバルなサイバーセキュリティ企業。マルウェア対策ソフトウェアの開発と脅威研究で知られている。

FBI Most Wanted（サイバー犯罪）（外部）
FBIが指名手配している最重要サイバー犯罪者に関する情報を提供している公式サイト。

MITRE ATT&CK（外部）
サイバー攻撃の戦術や技術をまとめたナレッジベース。APTグループの活動パターンを理解するのに役立つ。

【編集部後記】

みなさんの組織では、どのようなセキュリティ対策を講じていますか？国家支援型のサイバー攻撃は遠い世界の話と思われがちですが、新たな技術や情報を持つ企業、研究機関はすでに標的となっているかもしれません。基本的な対策の徹底や、セキュリティに関する社内文化の醸成はコストをかけずにできる重要な一歩です。もし心当たりがあれば、セキュリティの専門家に相談してみてはいかがでしょうか。サイバー空間の緊張が高まる今こそ、私たち一人ひとりの意識が重要になっています。