Cisco Talosは、中国語を話すAPTアクター「UAT-7237」が台湾のウェブインフラ事業体を標的とした活動を報告した。この活動は2022年から確認されている。UAT-7237は「UAT-5918」のサブグループとされ、カスタマイズしたオープンソースツールを使用する。攻撃にはシェルコードローダー「SoundBill」や「Cobalt Strike」が利用され、永続化には「SoftEther VPN」クライアントやRDPが用いられる。権限昇格に「JuicyPotato」、認証情報窃取に「Mimikatz」を使用する。またIntezerは、ESETが2024年11月に文書化したバックドア「FireWood」の新亜種を発見したと公表した。
From: 
Taiwan Web Servers Breached by UAT-7237 Using Customized Open-Source Hacking Tools
【編集部解説】
今回報じられた台湾のウェブインフラへのサイバー攻撃は、単なる一インシデントとして片付けるべきではありません。これは、国家が関与するとされるサイバー攻撃の「現在の手法」と「未来の姿」を明確に示唆する、重要なケーススタディと言えるでしょう。
注目すべきは、攻撃者「UAT-7237」が「オープンソースのツール」を巧みに「カスタマイズ」して利用している点です。一から高性能なマルウェアを開発するには莫大なコストと時間がかかります。しかし、広く一般に公開されているソフトウェアを悪用すれば、低コストで、かつ既存のセキュリティ監視の目をかいくぐりやすくなるのです。これはサイバー攻撃の「LCC(ローコストキャリア)化」とも言える潮流であり、高度な攻撃の参入障壁が劇的に下がっている現実を浮き彫りにしています。
攻撃者は、侵入後の永続的なアクセスのために「SoftEther VPN」という正規のVPNソフトウェアを利用しています。これは、システム内に存在する正規ツールを悪用して活動を隠蔽する「Living Off the Land(環境寄生型)」と呼ばれる戦術の一環です。システム管理者から見れば、不審なマルウェアではなく「正規のVPN通信」に見えるため、発見が著しく困難になります。未来のサイバー防衛は、未知のマルウェアだけでなく、既知のツールによる「予期せぬ振る舞い」をいかに検知するかが鍵となることを示唆しています。
この攻撃の背景には、台湾を巡る地政学的な緊張が存在することは想像に難くありません。ウェブサーバーのような重要インフラへの攻撃は、社会機能の麻痺を狙う現代のハイブリッド戦において、極めて重要な意味を持ちます。物理的な衝突が起きる前の「第一撃」がサイバー空間で行われることは、もはや常識です。デジタル社会が進化すればするほど、その神経網とも言えるインフラの脆弱性が、国家レベルのアキレス腱になるという現実を、私たちは直視する必要があります。
【用語解説】
- APT (Advanced Persistent Threat)
特定の組織や国家を標的とし、長期間にわたって潜伏しながら行われる、高度で執拗なサイバー攻撃のことである。「高度標的型攻撃」とも呼ばれる。 - シェルコードローダー (Shellcode Loader)
攻撃の本体となる悪意のあるプログラム(シェルコード)を、セキュリティ製品による検知から逃れながら読み込み、実行させるための補助的なプログラムである。 - Living Off the Land (LotL)
OSに標準搭載されている正規ツールや、一般的に利用されるソフトウェアを悪用して攻撃を行う手法のこと。「環境寄生型攻撃」とも呼ばれ、正規の動作と見分けがつきにくいため検知が困難である。 - ウェブシェル (Web Shell)
攻撃者がウェブサーバーを遠隔操作するために設置する、不正なスクリプトやプログラムのこと。一度設置されると、ブラウザ経由でサーバーに対して任意のコマンドを実行される恐れがある。 - ルートキット (Rootkit)
攻撃者がシステムへの不正なアクセスを隠蔽し、潜伏活動を維持するために利用するソフトウェア群のこと。OSの深い階層(カーネルレベル)で動作し、プロセスやファイルの存在そのものを隠蔽することがある。
【参考リンク】
【参考記事】
【編集部後記】
私たちが日々利用している便利なオープンソースのツールや、リモートアクセス環境。もしその「当たり前のツール」が悪意を持って使われたとしたら、私たちはその小さな異常に気づくことができるのでしょうか。おそらく難しいと思われます。
現代ではAIやチャットボットを利用する機会が増えていっています。「便利」で済まさずに、同時に知識などを身に付けていくことが利用者にとって今後の課題だと感じました。
