innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Sogou Pinyin・Tencent QQ・ESET:中国APT「TheWizards」によるIPv6 SLAAC悪用とソフトウェアアップデート乗っ取りの脅威

Sogou Pinyin・Tencent QQ・ESET:中国APT「TheWizards」によるIPv6 SLAAC悪用とソフトウェアアップデート乗っ取りの脅威 - innovaTopia - (イノベトピア)

Last Updated on 2025-05-01 18:36 by admin

中国系APTグループ「TheWizards」は、2022年頃からIPv6のSLAAC(ステートレスアドレス自動設定)スプーフィングを悪用した攻撃を展開している。

Spellbinderというツールを使い、ネットワーク内のRA(ルーターアドバタイズメント)メッセージを偽装して、Sogou PinyinやTencent QQなどの中国製ソフトウェアのアップデート通信を乗っ取り、攻撃者が管理するサーバー(例:43.155.62.54)から悪意のあるアップデートを配信した。

2024年にはTencent QQのアップデートプロセスがDNSレベルでハイジャックされ、感染端末には.NETペイロードを実行できるバックドア「WizardNet」が展開された。

また、TheWizardsはWindows向けにはWizardNet、Android向けには「DarkNights(別名:DarkNimbus)」を用いており、これらのマルウェアは中国の公安省請負業者「四川電科網絡安全技術有限公司(UPSEC)」が供給していることが判明している。攻撃の主な標的はカンボジア、香港、中国本土、フィリピン、アラブ首長国連邦の個人やギャンブル業界である。

from:Chinese Hackers Abuse IPv6 SLAAC for AitM Attacks via Spellbinder Lateral Movement Tool

【編集部解説】

今回の事案は、IPv6のSLAACというネットワーク自動設定の仕組みを悪用した高度な攻撃です。SLAACは、端末がネットワークに接続するだけで自動的にIPアドレスやゲートウェイが割り振られる便利な仕組みですが、攻撃者が偽のRAメッセージを送ることで、ネットワーク上の通信経路やDNSサーバーを乗っ取ることが可能になります。

この攻撃ベクトル自体は以前から知られていましたが、APTグループが本格的に悪用し、ソフトウェアアップデート通信の乗っ取りや横展開に利用した事例は非常に珍しいです。特に、正規のアップデート通信を悪用してバックドアを配信する手口は、利用者が気づきにくい点が大きなリスクとなります。

また、四川電科網絡安全技術(UPSEC)がマルウェアの供給元であることから、国家レベルでサイバー攻撃のインフラが整備されている実態も浮き彫りになりました。今後、IPv6の普及が進む中で、ネットワーク管理者や企業はIPv6のセキュリティ監視や設定の見直しが急務となります。SLAACやRAメッセージの監視、アクセス制御の強化が求められるでしょう。

このような攻撃手法が他地域や他業界にも波及する可能性があり、グローバルな規制や標準化の議論も今後活発化すると考えられます。利便性とセキュリティのバランスをどう取るかが、今後のネットワーク運用の大きな課題です。

【用語解説】

SLAAC(Stateless Address Autoconfiguration)
 IPv6ネットワークで端末が自動的にIPアドレスを取得する仕組み。

RA(Router Advertisement)メッセージ
 IPv6ルーターがネットワーク内の端末に「ここがゲートウェイ」と知らせる信号。

AitM攻撃(Adversary-in-the-Middle attack/中間者攻撃)
 通信の途中に攻撃者が割り込み、情報を盗んだり改ざんしたりする手口。

Spellbinder
 TheWizardsが使う横展開ツールで、偽のRAメッセージをばらまき通信を攻撃者のサーバーに誘導する。

WizardNet
 感染端末に送り込まれるバックドア型マルウェア。遠隔操作や追加マルウェアの投入が可能。

TheWizards
 中国系のAPT(高度持続的脅威)グループ。2022年頃からアジア圏で活動。

UPSEC(四川電科網絡安全技術有限公司)
 中国公安省の請負業者で、マルウェア「DarkNights」などの供給元。

【参考リンク】

ESET公式サイト(外部)
スロバキア発祥の世界的セキュリティソフトメーカー。法人・個人向け製品を展開。

Sogou Pinyin公式サイト(外部)
中国で広く使われている中国語入力ソフト。無料でダウンロード可能。

Tencent QQ公式サイト(外部)
中国最大級のインスタントメッセンジャーサービス。月間アクティブユーザーは7億人超。

【参考動画】

【編集部後記】

みなさんの職場やご自宅のネットワークで、IPv6の設定やセキュリティ対策について考えたことはありますか?
今回ご紹介した事例のように、見えにくい部分にこそ新たなリスクが潜んでいます。
もし「自分ならどう守るか?」と想像したとき、どんな工夫や疑問が浮かぶでしょうか。
みなさんの気づきや経験も、ぜひSNSで共有してみませんか?

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Sogou Pinyin・Tencent QQ・ESET:中国APT「TheWizards」によるIPv6 SLAAC悪用とソフトウェアアップデート乗っ取りの脅威

Latest News