Brickstorm：中国関連ハッカー集団が欧州の重要インフラに潜伏させた高度バックドア – 3年近く検出されずに活動

2025年4月17日7:44

サイバーセキュリティニュース

Brickstorm：中国関連ハッカー集団が欧州の重要インフラに潜伏させた高度バックドア - 3年近く検出されずに活動 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-17 10:03 by admin

ベルギーのサイバーセキュリティ企業Nvisoは2025年4月15日、中国関連の脅威グループUNC5221が使用するバックドアマルウェア「Brickstorm」のWindows版バリアントを発見したと発表した。

このマルウェアは少なくとも2022年から欧州の組織を標的にしたサイバースパイ活動に使用されており、特に中国にとって「戦略的関心のある産業」を狙っている。

Brickstormは元々、VMware vCenterを実行するLinuxサーバーを標的にするマルウェアとして2024年にMandiantによって初めて報告されたが、今回の調査でWindows環境を標的にするバリアントの存在が明らかになった。これらのサンプルはGo 1.13.5（2019年リリース）で書かれており、スケジュールされたタスクなどの持続性メカニズムを利用している。

新たに発見されたWindows版Brickstormは、ファイル管理機能とネットワークトンネリング機能を提供する。Linux版と異なり、Windows版にはコマンド実行機能が意図的に省略されているが、攻撃者はネットワークトンネリング機能と有効な認証情報を組み合わせてRDP（リモートデスクトッププロトコル）やSMB（サーバーメッセージブロック）などの一般的なプロトコルを悪用し、同様の効果を達成している。

このマルウェアはDNS over HTTPS（DoH）を使用してコマンド＆コントロール（C2）サーバーを解決し、多層的なTLS暗号化（3層のTLS）を使用して通信を保護している。また、正当で人気のあるクラウドプロバイダーをC2インフラストラクチャに利用することで、悪意のあるトラフィックを正規のものに偽装し、検出を困難にしている。

from:China-Linked Hackers Lay Brickstorm Backdoors on Euro Networks

【編集部解説】

今回のNvisoによるBrickstormマルウェアの発見は、国家支援型サイバー攻撃の実態を示す重要な事例です。このマルウェアは当初Mandiantによって2024年にLinux環境で発見されましたが、Nvisoの調査によって少なくとも2022年から使用されていたWindows版の存在が明らかになりました。

特筆すべきは、このマルウェアが「静かに」活動する設計になっている点です。ランサムウェアのように即座に被害を顕在化させるのではなく、長期間にわたって検出を避けながら産業スパイ活動を継続できるよう設計されています。これは中国関連のサイバー攻撃に特徴的なアプローチと言えるでしょう。

Brickstormの技術的な特徴として、DNS over HTTPS（DoH）を使用してコマンド＆コントロールサーバーと通信する点が挙げられます。さらに、Nvisoの詳細な分析によれば、このマルウェアは3層のTLS暗号化を使用するという極めて高度な手法を採用しています。これにより従来のネットワーク監視ソリューションを回避できるため、セキュリティチームにとって検出が非常に困難になっています。

Windows版とLinux版の違いも興味深いポイントです。Windows版にはコマンド実行機能が意図的に省略されていますが、これは現代のセキュリティソリューションが親子プロセスの関係を分析することを回避するための工夫と考えられます。代わりに攻撃者はネットワークトンネリング機能と盗んだ認証情報を組み合わせ、RDPやSMBなどの正規プロトコルを悪用して同様の効果を達成しています。

このような高度なマルウェアが欧州の産業を標的にしていることは、中国の産業スパイ活動が「中国の長期的な戦略目標に関連する知的財産と企業秘密の窃取」を目的としていることを示唆しています。製造業やハイテク分野でのリーダーシップ確立を目指す中国の国家戦略と密接に関連していると考えられます。

企業のセキュリティ担当者にとって、このような脅威に対処するためには従来の対策だけでは不十分です。Nvisoが推奨するように、DoHプロバイダーのブロックやネストされたTLSセッションの検出など、より高度な防御策の導入が必要になっています。

また、このケースは国家支援型のサイバー攻撃が単なる技術的な問題ではなく、地政学的な側面も持つことを改めて示しています。サイバー空間における国家間の対立が、現実世界の外交・経済関係にも影響を与える時代になっているのです。

特に日本企業にとっても他人事ではありません。日本も中国にとって「戦略的関心のある産業」を多く有しており、同様の標的になる可能性は十分にあります。今回のケースから学べることは、サイバーセキュリティが単なるIT部門の問題ではなく、経営戦略上の重要課題であるということです。

【用語解説】

Brickstorm：
中国関連のハッカーグループUNC5221が使用するバックドアマルウェア。被害者のシステムに隠密に侵入し、長期間にわたって検出を回避しながら情報窃取を行う。

UNC5221：
中国関連の高度な持続的脅威（APT）グループ。Mandiantが追跡している脅威グループの一つで、産業スパイ活動を主な目的としている。2024年のMITRE社への侵害にも関連している。

DNS over HTTPS (DoH)：
通常のDNSクエリを暗号化してHTTPSプロトコル経由で送信する技術。プライバシー保護のために開発されたが、マルウェアがこの技術を悪用して通信を隠蔽することもある。

多層TLS（TLS-in-TLS）：
Brickstormが使用する高度な暗号化手法。通常のTLS接続の中に別のTLS接続を確立し、さらにその中に3層目のTLS接続を確立する。これにより、組織のアウトバウンドHTTPSプロキシやクラウドプロバイダーによる監視を回避する。

Yamux/smux：
Brickstormが使用する多重化ライブラリ。単一の接続で複数の並行セッションを実行できるようにする。これにより、ファイル管理や複数のネットワークトンネルなど、複数の活動を同時に行うことが可能になる。

APT（Advanced Persistent Threat）：
高度で持続的な標的型攻撃。

RDP（Remote Desktop Protocol）：
Windowsのリモートデスクトップ接続に使用されるプロトコル。

SMB（Server Message Block）：
ファイルやプリンタなどの共有に使用される通信プロトコル。

TLS（Transport Layer Security）：
インターネット上の通信を暗号化するためのプロトコル。

【参考リンク】

Nviso公式ウェブサイト（外部）
Brickstormマルウェアを発見したベルギーのサイバーセキュリティ企業のウェブサイト

Mandiant公式ウェブサイト（外部）
Brickstormマルウェアを最初に発見したGoogleの子会社のセキュリティ企業

【編集部後記】

サイバー空間の攻防は日々進化しています。今回のBrickstormのように、何年も検出されずに潜伏するマルウェアの存在は、セキュリティ対策の難しさを物語っていますね。特に3層のTLS暗号化やDoHを使った通信隠蔽など、高度な回避技術には従来の対策では太刀打ちできません。皆さんの組織ではDoHトラフィックの監視やネストされたTLS通信の検出など、最新の脅威に対応する対策を講じていますか？また、自社の技術や情報が「戦略的関心」の対象になり得るかどうか、改めて考えてみる機会になれば幸いです。SNSでぜひ皆さんの取り組みや疑問をシェアしてください。