中国国家と連携する脅威アクターPlushDaemonが、少なくとも2018年から中国組織に対してソフトウェアアップデートを乗っ取るスパイ活動を行っている。
ESETの研究者によると、PlushDaemonはルーターなどのエッジデバイスに「EdgeStepper」マルウェアを感染させ、ネットワークトラフィックを乗っ取る。EdgeStepperはGoで書かれ、MIPS32プロセッサ向けにELFファイルとしてコンパイルされている。
EdgeStepperは被害者のDNSクエリを傍受し、PlushDaemonのインフラストラクチャへリダイレクトする。標的となるのはSogou Pinyin Method、Baidu Netdisk、Tencent QQ、WPS Officeといった中国ソフトウェア製品のアップデートリクエストである。
最終的に被害者は「SlowStepper」バックドアをダウンロードし、パスワード、ローカルファイル、ブラウザCookie、WeChatデータ、スクリーンショットが窃取される。被害者の大半は中国本土または香港にあり、台湾の電子機器メーカーや北京の大学、台湾、カンボジア、ニュージーランド、米国の組織も含まれる。
PlushDaemonは少なくとも2018年から活動しており、ソフトウェアアップデート手法は2019年から使用されている。ESETのマルウェア研究者Facundo Muñozは、ネットワーク内デバイスの脆弱性と認証情報の精査を推奨している。
From: 
Chinese APT Infects Routers to Hijack Software Updates
【編集部解説】
今回のPlushDaemonによる攻撃は、サイバーセキュリティにおける「中間者攻撃」の新たな段階を示しています。ESETの調査によれば、中国と連携する10以上のAPTグループが過去2年間でソフトウェアアップデートの乗っ取り手法を採用しており、この攻撃手法が中国系脅威アクターの間で標準化されつつあることが明らかになりました。
この攻撃の本質的な危険性は、ユーザーが最も信頼する行為——ソフトウェアのアップデート——を武器化している点にあります。通常、セキュリティ更新プログラムの適用は推奨される安全対策ですが、PlushDaemonはその信頼関係を逆手に取ることで、ユーザーに疑念を抱かせることなく侵入を果たしています。
技術的な観点から注目すべきは、EdgeStepperがMIPS32アーキテクチャを標的としている点です。MIPSプロセッサは2000年代から2010年代にかけてルーターやIoTデバイスで広く採用され、現在も多くのレガシーデバイスで稼働しています。Forescoutの2025年レポートによれば、ルーターは現在、最も脆弱なデバイスの50%以上を占めており、ネットワークインフラストラクチャの防御強化が急務となっています。
この攻撃が成功する根本的な要因は、多くのソフトウェアが依然としてHTTPなどの安全でない通信プロトコルを使用しており、デジタル署名の検証を適切に実施していない点にあります。HTTPSと適切なデジタル署名検証を組み合わせることで、たとえアップデートサーバーが侵害されても被害を限定できますが、多くの中国製ソフトウェアはこうした基本的なセキュリティ対策を欠いています。
PlushDaemonが主に中国組織を標的としている理由は明確ではありませんが、これは中国政府による国内監視活動の一環である可能性が専門家から指摘されています。被害組織には台湾の電子機器メーカーや香港の組織も含まれており、政治的に敏感な地域への監視活動が示唆されています。
この攻撃が2018年から少なくとも7年間継続していながら注目を集めなかった事実は、巧妙なステルス性を物語っています。エッジデバイスへの侵入という初期段階が単純であるがゆえに、組織は最も基本的な対策——デフォルトパスワードの変更、脆弱性パッチの適用、認証情報の強化——を徹底することで、この高度な攻撃チェーン全体を未然に防ぐことができます。
グローバルな影響範囲という観点では、PlushDaemonはどこからでも標的を侵害できる能力を持っています。米国、ニュージーランド、カンボジアでも被害が確認されており、中国製ソフトウェアを使用する組織は地理的な位置に関わらずリスクに晒されています。
長期的には、この事例はソフトウェアサプライチェーンのセキュリティ基準見直しを促す契機となるでしょう。すべてのソフトウェアアップデートに対するHTTPS通信の義務化、デジタル署名検証の標準化、そしてネットワークデバイスのセキュリティ認証制度の強化が、今後の規制強化の焦点となる可能性があります。
【用語解説】
PlushDaemon
中国と連携するAPTグループの名称。少なくとも2018年から活動しており、ルーターなどのネットワークデバイスを侵害してソフトウェアアップデートを乗っ取る攻撃手法を用いる。主に中国組織を標的としている。
APT(Advanced Persistent Threat / 高度持続的脅威)
高度に組織化され、潤沢な資金と技術を持つサイバー攻撃グループ。通常は国家またはそれに準ずる組織が背景にあり、長期間にわたって標的のネットワークに潜伏し、機密情報を窃取する。通常の攻撃とは異なり、特定の組織を標的とし、既存のセキュリティ対策を回避するよう綿密に計画される。
EdgeStepper
PlushDaemonが使用するマルウェア。開発者によって内部的にdns_cheat_v2と命名されていた。Go言語で書かれ、オープンソースのGoFrameフレームワークを使用して開発され、MIPS32プロセッサ向けにELF形式でコンパイルされている。ルーターやIoTデバイスに感染し、被害者のDNSクエリを傍受してPlushDaemonのインフラストラクチャへリダイレクトする機能を持つ。
SlowStepper
PlushDaemonが最終的に展開するカスタムバックドア。モジュラー構造を持ち、パスワード、ローカルファイル、ブラウザCookie、WeChatデータ、スクリーンショットなどを窃取する複数のコンポーネントで構成される。
DNS(Domain Name System)
インターネット上のドメイン名とIPアドレスを対応付けるシステム。ユーザーが入力したドメイン名を、コンピュータが理解できるIPアドレスに変換する役割を果たす。DNSサーバーが侵害されると、正規のウェブサイトへのアクセスを悪意のあるサイトへリダイレクトできるため、攻撃の標的となりやすい。
DNSポイズニング(DNS汚染)
DNSサーバーやキャッシュに偽の情報を注入し、ユーザーを意図しないIPアドレスへ誘導する攻撃手法。PlushDaemonはこの技術を用いて、正規のソフトウェアアップデートサーバーへのアクセスを自らが管理する悪意のあるサーバーへリダイレクトする。
MIPS(Microprocessor without Interlocked Pipeline Stages)
2000年代から2010年代にかけてルーターやIoTデバイスで広く採用されたプロセッサアーキテクチャ。現在も多くのレガシーデバイスで使用されており、EdgeStepperはMIPS32プロセッサを標的に設計されている。
中間者攻撃(Man-in-the-Middle Attack / MITM)
通信の送信者と受信者の間に攻撃者が介入し、データを傍受、改ざん、またはリダイレクトする攻撃手法。PlushDaemonはルーターを侵害することで、ネットワークトラフィックの中間に位置し、ソフトウェアアップデートリクエストを乗っ取る。
ELF(Executable and Linkable Format)
Unix系オペレーティングシステムで使用される実行可能ファイルの標準フォーマット。EdgeStepperはこの形式でコンパイルされており、LinuxベースのルーターやIoTデバイス上で実行される。
GoFrame
Go言語で開発されたオープンソースのWebアプリケーションフレームワーク。EdgeStepperの開発に使用され、AES-CBC暗号化の復号化に使用されるデフォルトキーと初期化ベクトルは”I Love Go Frame”という文字列から派生している。
【参考リンク】
ESET(イーセット)(外部)
スロバキアのサイバーセキュリティ企業。今回のPlushDaemon攻撃を発見し詳細な調査レポートを公開した。
Sogou Pinyin(搜狗拼音输入法)(外部)
中国で最も人気の高い中国語入力システム。PlushDaemonの標的ソフトウェアの一つ。
Baidu Netdisk(百度网盘)(外部)
中国のBaiduが提供するクラウドストレージサービス。PlushDaemonが標的とする中国製ソフトウェアの一つ。
WPS Office(外部)
中国のKingsoft Corporationが開発する無料オフィススイート。PlushDaemonが標的とするソフトウェアの一つ。
Tencent QQ(腾讯QQ)(外部)
中国のTencentが提供する多目的インスタントメッセンジャー。PlushDaemonが標的とする中国製ソフトウェアの一つ。
【参考記事】
PlushDaemon compromises network devices for adversary-in-the-middle attacks(外部)
ESETの公式調査レポート。EdgeStepperの技術詳細とPlushDaemonの攻撃手法を解説。
‘PlushDaemon’ hackers hijack software updates in supply-chain attacks(外部)
PlushDaemonのサプライチェーン攻撃手法を詳述。中国製ソフトウェアのアップデートが標的とされている。
EdgeStepper Implant Reroutes DNS Queries to Deploy Malware via Software Updates(外部)
EdgeStepperの技術実装の詳細。DNSクエリの傍受とリダイレクトの仕組みを解説。
Chinese PlushDaemon Hackers use EdgeStepper Tool to Hijack Software Updates(外部)
GoFrameフレームワークを使用したEdgeStepperの開発詳細と暗号化実装について報告。
Chinese Nation-State Groups Hijacking Software Updates(外部)
過去2年間で10以上の中国系APTグループがソフトウェアアップデート乗っ取り手法を採用している傾向を報告。
Forescout’s 2025 report reveals surge in device vulnerabilities across IT, IoT, OT and IoMT(外部)
Forescoutの2025年レポート。ルーターが最も脆弱なデバイスの50%以上を占めていることを報告。
Router implant ‘EdgeStepper’ hijacks software updates to deliver malware(外部)
EdgeStepperのインフラが2021年から稼働していることを報告。HTTPS通信の強制などの防御策を提言。
【編集部後記】
今回のPlushDaemonの事例は、私たちが日常的に使っているソフトウェアのアップデート機能が攻撃経路になりうることを示しています。特に中国製のソフトウェアやアプリを業務で利用されている方は、自社のネットワーク環境を見直す良い機会かもしれません。
また、ルーターのパスワードがデフォルトのままになっていないか、ファームウェアの更新が放置されていないか、一度確認してみてはいかがでしょうか。皆さんの組織では、ネットワークエッジデバイスのセキュリティ対策をどのように実施されていますか?innovaTopia編集部も、読者の皆さんと一緒にこうした新しい脅威について考え、学んでいきたいと思います。
