Palo Alto Networks Unit 42は、国家支援の脅威主体CL-STA-0969が2024年2月から11月にかけて10ヶ月間、東南アジアの通信事業者を標的としたスパイ活動キャンペーンを実施したと発表した。
攻撃には東南アジアの重要通信インフラが含まれ、複数のインシデントが観測された。CL-STA-0969はAuthDoor、Cordscan、GTPDOOR、EchoBackdoor、ChronosRAT、NoDepDNS、SGSN Emulatorの7種類のマルウェアツールを使用し、遠隔アクセスを可能にした。
Unit 42の研究者Renzon Cruz、Nicolas Bareil、Navin Thomasによると、この脅威主体は高度な運用セキュリティを維持し、検出回避技術を採用していた。CL-STA-0969はCrowdStrikeが追跡するLiminal Pandaと重複しており、中国系のスパイ活動グループとされる。データ流出の証拠は発見されなかったものの、侵害されたネットワークの遠隔制御が可能な状態が維持されていた。
同時に中国国家計算機网络应急技术処理協調中心は、米国情報機関が2022年7月から2023年7月にMicrosoft Exchangeゼロデイ脆弱性を悪用し、中国軍事企業50台以上のデバイスを乗っ取ったと逆告発した。
From: 
CL-STA-0969 Installs Covert Malware in Telecom Networks During 10-Month Espionage Campaign
【編集部解説】
今回のCL-STA-0969による攻撃は、通信インフラへのサイバースパイ活動の新たな段階を示しています。この事案の最も重要な特徴は、従来の「データ窃取」ではなく「継続的なアクセス権の確保」に焦点を当てていることです。
攻撃グループが使用した7種類のマルウェアツールは、それぞれが特定の役割を持つモジュール化された戦略を反映しています。特にGTPDOORというマルウェアは、GPRSローミング交換に隣接した通信ネットワーク専用に設計されており、攻撃者が通信業界の技術的仕組みを深く理解していることを示しています。
この攻撃の技術的複雑さは、単なるハッキング以上の意味を持ちます。通信ネットワークは現代社会の神経系に相当し、ここに秘密裏にアクセス権を持つことは、将来的に膨大な情報収集や影響力行使が可能になることを意味します。Cordscanによるモバイルデバイスの位置データ収集機能は、個人のプライバシーや国家安全保障に直接関わる懸念を提起します。
一方で、今回の調査では実際のデータ流出は確認されておらず、これは攻撃者が「潜伏期間」を重視していることを示唆します。この戦略は、中長期的な情報収集や、有事の際の通信インフラ無力化などの可能性を残しています。
CL-STA-0969とLiminal Pandaの重複は、中国系脅威グループの活動が複雑に絡み合い、長期間にわたって進化していることを物語ります。これは単発的な攻撃ではなく、体系的な戦略の一部であることを示しています。
この事案は、5Gや6Gなどの次世代通信技術の普及が進む中で、通信インフラのセキュリティがいかに重要かを改めて浮き彫りにしています。通信事業者には、従来のファイアウォールや侵入検知システムを超えた、より高度な防御メカニズムの導入が求められるでしょう。
グローバルな通信ネットワークの相互接続性を悪用した今回の攻撃手法は、国際的な協力によるセキュリティ強化の必要性も示唆しています。一国の通信インフラの脆弱性が、他国の安全保障にも影響を与える時代が到来しているのです。
【用語解説】
OPSEC(Operational Security)
運用セキュリティ。軍事や諜報活動において、作戦実行時に自らの活動や痕跡を隠蔽し、敵に情報を与えないための手法および考え方である。サイバー攻撃においては、攻撃者が検出を避けるために採用する戦術を指す。
SSH(Secure Shell)
ネットワーク上で暗号化された安全な通信を行うためのプロトコル。リモートログインやファイル転送に広く使用されており、今回の事案では攻撃者が侵入後の通信手段として悪用された。
PAM(Pluggable Authentication Module)
Unix系OSにおける認証システムの仕組み。様々な認証方法を柔軟に組み込むことができるが、今回の攻撃では悪性のPAMモジュール「AuthDoor」が認証情報窃取に利用された。
GPRS(General Packet Radio Service)
2.5G移動通信システムにおけるパケット通信サービス。モバイルデータ通信の基盤技術の一つであり、攻撃者はこのネットワークを悪用してトラフィックをルーティングした。
SGSN(Serving GPRS Support Node)
GPRSネットワークにおいて、移動局の位置管理やデータ転送を担う重要なネットワークノード。攻撃者はSGSNエミュレーターを使用してトラフィックをトンネルし、ファイアウォール制限を迂回した。
CVE識別子
Common Vulnerabilities and Exposures。脆弱性に付与される標準的な識別番号。記事中のCVE-2016-5195、CVE-2021-4034、CVE-2021-3156は、すべてLinux/Unix系システムの権限昇格脆弱性である。
APT(Advanced Persistent Threat)
高度で継続的な脅威。国家や組織的背景を持つ攻撃者が、長期間にわたって標的への侵入を維持し、情報収集や破壊活動を行う攻撃形態である。
ゼロデイ脆弱性
まだ修正パッチが提供されていない、あるいは広く知られていない脆弱性。攻撃者がこれを悪用することで、防御側は対策が困難となる。
【参考リンク】
Palo Alto Networks Unit 42(外部)
脅威インテリジェンス・インシデント対応チーム。月間100億件以上のイベントを解析
CrowdStrike(外部)
エンドポイントセキュリティとサイバー脅威インテリジェンスの専門企業
Microsoft Security Response Center(外部)
マイクロソフトの公式セキュリティ情報センター。脆弱性情報を提供
Microsocks GitHub(外部)
軽量なSOCKS5プロキシサーバー。攻撃者にも悪用される
Fast Reverse Proxy (FRP) GitHub(外部)
高性能なリバースプロキシツール。攻撃者による不正アクセス維持にも利用
【参考記事】
The Covert Operator’s Playbook: Infiltration of Global Telecom Networks(外部)
CL-STA-0969による攻撃の詳細な技術分析レポート
LIMINAL PANDA: A Roaming Threat to Telecommunications(外部)
CrowdStrikeによるLiminal Pandaの分析報告書
【編集部後記】
今回のCL-STA-0969による通信インフラへの攻撃は、私たちの日常を支えるネットワークがいかに複雑で脆弱な存在かを改めて気づかせてくれました。皆さんは普段、スマートフォンや自宅のインターネット回線を使う際、その裏側でどれほど高度な技術が動いているか意識されたことはありますか?
6Gや量子通信など、次世代通信技術への期待が高まる一方で、こうしたサイバー脅威も同時に進化していることは避けられない現実です。読者の皆さんは、テクノロジーの利便性とセキュリティリスクのバランスについて、どのような考えをお持ちでしょうか?また、個人レベルでできる対策があるとすれば、どのようなことから始めてみたいと思われますか?
私たちinnovaTopia編集部も、こうした複雑な技術課題について皆さんと一緒に学び、考えていければと思います。
