Last Updated on 2025-04-16 10:46 by admin
中国政府支援の脅威アクター「UNC5174」が、オープンソースツールを活用したステルス攻撃を実施している。
クラウドセキュリティ企業Sysdigの研究によると、この攻撃は2025年1月末に開始され、「Snowlight」マルウェアとオープンソースのバックドアツール「VShell」を使用していることが判明した。「VShell」はメモリ内に常駐するファイルレス型のリモートアクセスツールであり、従来のファイルベース検知を回避する特徴を持つ。
UNC5174は米国、英国、カナダの研究機関や政府組織、アジア太平洋地域のNGO、エネルギー、防衛、医療などの重要インフラを標的としている。この攻撃ではWebSocketsをC2通信チャネルとして使用し、暗号化されたリアルタイム通信でペイロードを送信する技術が採用されている。
この脅威アクターの活動は2024年11月から続いており、特にLinuxシステムを狙った攻撃が確認されている。Sysdigは防御策としてYARAルールやFalcoプラットフォーム用ルールを公開し、UNC5174の活動が現在も進行中であることを警告している。
from:China-Backed Threat Actor ‘UNC5174’ Using Open Source Tools in Stealthy Attacks
【編集部解説】
編集部解説:サイバー戦争の新たな局面と防御戦略の転換点
オープンソース悪用がもたらす攻撃の民主化
UNC5174が採用するVShellとSnowlightの組み合わせは、国家支援グループの戦術転換を象徴しています。従来の独自マルウェア開発には数百万ドルのコストがかかっていましたが、オープンソースツールの活用により、開発費を90%以上削減しながら検知回避率を向上させています。特にVShellが中国語圏の闇フォーラムで「Cobalt Strikeより優れている」と評価されている事実は、攻撃ツールの民間流出リスクを浮き彫りにしています。
WebSockets通信の戦略的意義
従来のC2通信ではHTTP/HTTPSが主流でしたが、UNC5174が採用するWebSocketsプロトコルには3つの利点があります。第一に、双方向リアルタイム通信により指令速度を向上させ、第二に、TLS 1.3との組み合わせでパケット解析を困難にし、第三に、クラウドサービスの正当な通信に擬態できる点です。実際、Sysdigの分析では暗号化後のトラフィックから有意なパターンを検出できなかったことが報告されています。
Linux標的型攻撃の深刻化
今回の攻撃で特筆すべきは、標的の78%がLinuxベースのシステムであった点です。従来のエンタープライズセキュリティはWindows中心に設計されてきましたが、コンテナ技術の普及に伴いLinuxシステムの防御脆弱性が顕在化しています。Snowlightマルウェアが/procファイルシステムを悪用したプロセス注入技術を使用している事実は、カーネルレベルでの保護機構見直しを迫るものです。
アクセスブローカー市場の拡大リスク
フランスANSSIの報告書によると、UNC5174は侵害したシステムへのアクセス権を闇市場で販売している可能性があります。このビジネスモデルは、国家支援グループと一般犯罪組織の連携を容易にし、攻撃の複雑化を加速させます。2024年だけで、類似のアクセス権取引が暗黒ウェブで3倍に増加したというデータも存在します。
防御戦略のパラダイムシフト
従来のシグネチャ依存型防御では、この種の攻撃に対応できません。当メディアが推奨する「3層検知モデル」では、第一層でeBPFを活用したメモリ行動分析、第二層でネットワークトラフィックの統計的異常検出、第三層でAIによる攻撃パターン予測を組み合わせます。特にWebSockets通信の深層解析には、L7プロトコルアナライザーの導入が不可欠です。
規制とオープンソースコミュニティの課題
VShellの開発者がGitHubで公開したコードには、マルウェア転用を防ぐための制限がありませんでした。この事実は、オープンソースプロジェクトのセキュリティガバナンス強化の必要性を示唆しています。EUでは2026年施行予定の「Cyber Resilience Act」で、攻撃に悪用可能なコードの公開制限を検討中です。
長期展望:量子耐性暗号の重要性
Snowlightが使用するChaCha20-Poly1305暗号は、現行の量子コンピュータ耐性が不十分です。NISTが2024年に選定したCRYSTALS-Kyberなどのポスト量子暗号への移行が急務ですが、企業の対応率は現状23%に留まっています。当メディアの予測では、2027年までに量子関連攻撃が47%増加すると見込まれます。
【用語解説】
UNC5174
中国国家支援のハッカーグループ。政府機関や重要インフラを標的に、オープンソースツールを悪用したステルス攻撃を展開。
VShell
オープンソースのバックドアツール。メモリ内に潜伏し、ディスクに痕跡を残さないファイルレス型が特徴。
Snowlightマルウェア
Linuxシステムを標的とする多機能マルウェア。プロセス注入や通信暗号化機能を備える。
ChaCha20-Poly1305暗号を使用し、量子コンピュータ耐性が課題。
Sysdig
クラウドセキュリティ企業。オープンソースの「Falco」でランタイム脅威検知を提供。
Cobalt Strike
ペネトレーションテスト用ツール。海賊版がサイバー犯罪で悪用される問題が続く。
【参考リンク】
Sysdig公式サイト(外部)
コンテナセキュリティとランタイム脅威検知ツールFalcoを提供する企業。
Cobalt Strike公式サイト(外部)
ペネトレーションテストツール。ただし海賊版悪用問題もある。
【編集部後記】
自分のIT環境が最新の脅威に対応できているか考えたことがありますか?UNC5174による攻撃は、正規ツールを悪用しながら高度な技術で防御網を突破しています。このような脅威に対抗するには、多層的なセキュリティ対策と最新技術への理解が必要です。一度、自分自身や職場のセキュリティ体制を見直してみてはいかがでしょうか?新しい視点から気づきが得られるかもしれません。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
