Google Threat Intelligence Group(GTIG)とMandiantは2026年2月、中国(PRC)との関連が疑われるサイバースパイグループUNC2814による世界規模のスパイキャンペーンを妨害した。GTIGはUNC2814を2017年から追跡している。2月18日時点で、4大陸42カ国53組織への侵入が確認され、さらに20カ国以上での感染が疑われる。
UNC2814はGRIDTIDEと呼ばれる新型バックドアを使用し、Google SheetsのAPIをC2(コマンド&コントロール)通信に悪用していた。標的は通信事業者および政府機関で、氏名・電話番号・生年月日・国民ID番号などの個人識別情報(PII)を含むエンドポイントへのアクセスが確認された。
GTIGは攻撃者が管理するすべてのGoogle Cloudプロジェクトを終了させ、UNC2814のインフラを無効化、関連するGoogle Sheetsアカウントへのアクセスを失効させた。また、少なくとも2023年以降に活動するUNC2814インフラのIOC(侵害の痕跡)を公開した。
UNC2814の活動は「Salt Typhoon」とは別のグループによるものである。
From: 
Exposing the Undercurrent: Disrupting the GRIDTIDE Global Cyber Espionage Campaign
【編集部解説】
今回の事案を一言で表すなら、「クラウドの正規機能がスパイの隠れ蓑になった」ということです。UNC2814が悪用したのはGoogle Sheetsの「脆弱性」ではなく、誰もが日常的に使うAPIの「正規の動作」そのものでした。これが、この事件の最も重要なポイントです。
従来のサイバー攻撃では、攻撃者は専用のC2サーバーを立てて通信を行うため、そのトラフィックは比較的検知されやすい傾向がありました。ところがGRIDTIDEは、スプレッドシートのセルをコマンド受信ボックスとして使い、Google Sheets APIへの通信に悪意のある命令を紛れ込ませます。企業のセキュリティ担当者からすると、Google Sheetsへの通信は「正常なビジネス通信」にしか見えません。
この手法が特に厄介なのは、対策の難しさです。Googleがサービスを遮断すると、攻撃者はMicrosoft ExcelやDropboxなど別のクラウドSaaSに同じ手口を流用できます。GTIGも「アクターは他のクラウドベースのスプレッドシートプラットフォームも容易に利用できる」と明記しており、今回の妨害は「この手口の終わり」ではなく、あくまで「この特定のキャンペーンの終わり」に過ぎません。
よく混同されがちですが、UNC2814はSalt Typhoonとは別のグループです。Salt TyphoonはアメリカのAT&TやVerizonなどの大手通信事業者への侵入で知られ、米国の諜報・司法機関の通信傍受システム(合法的傍受)そのものへのアクセスが問題になりました。一方UNC2814は、アフリカ・アジア・中南米を中心に42カ国53組織という広範な標的を持ち、個人の氏名・電話番号・国民IDなどのPIIを収集していた点が特徴です。標的とする地域と目的が異なる、中国系の別の工作グループと理解するのが正確です。
PIIの収集という点にも注目が必要です。通話記録やSMSの傍受にとどまらず、選挙人IDや出生地といった情報まで収集されていたことは、「通信傍受」というよりも「個人の身元特定・追跡」を目的としていることを強く示唆します。GTIGは、反体制派や活動家、政治的標的の監視に活用された可能性を指摘しており、これは純粋な国家間スパイ活動を超えた、人権侵害に直結するリスクを孕んでいます。
規制や政策への影響という観点では、今回の事案は「クラウドサービス提供者の責任」という問いを改めて突きつけます。Googleは今回、攻撃者のプロジェクトやアカウントを強制終了するという「プラットフォーム側の積極介入」によってキャンペーンを阻止しました。これはサイバーセキュリティにおける民間企業の役割が、単なる「ツール提供者」から「能動的な防御者」へとシフトしていることを示す先例として、今後の国際的な規制議論に影響を与えるでしょう。
長期的な視点で見れば、少なくとも2017年から活動してきたUNC2814は、今回の摘発時点で約9年間にわたって活動を続けてきたことになります。GTIGは「このような規模の侵入は容易には再構築されない」としながらも、UNC2814がインフラを再構築して活動を再開しようとするだろうと明言しています。今回の摘発は重要な成果ですが、クラウドの正規機能を悪用するという手口は、攻撃者が新たなプラットフォームに乗り換えるだけで復活し得ます。防御側には、シグネチャベースの検知だけでなく、振る舞い検知や異常なAPIコールのパターン分析が不可欠になっています。
【用語解説】
C2(コマンド&コントロール)
攻撃者がマルウェアに対して命令を送り、データを受け取るための通信インフラ。通常は専用サーバーが使われるが、今回はGoogle Sheetsが悪用された。
バックドア
攻撃者がシステムへの不正アクセスを維持するために密かに設置する、認証を迂回したプログラムや仕組み。今回はGRIDTIDEがこれにあたる。
LotL(Living off the Land/環境寄生型攻撃)
OSに標準搭載されている正規のツールやコマンドを悪用して攻撃を行う手法。独自のマルウェアを持ち込まないため、検知が困難。
IOC(Indicators of Compromise/侵害の痕跡)
システムへの不正侵入が発生したことを示す証拠。IPアドレス、ドメイン、ファイルのハッシュ値などが含まれる。
シンクホール(Sinkholing)
攻撃者が使用するドメインへのトラフィックを、研究者や当局が管理するサーバーに強制的に誘導する手法。マルウェアの通信を無効化するために使われる。
PII(個人識別情報)
氏名・電話番号・生年月日・国民IDなど、特定の個人を識別できる情報の総称。
TTP(戦術・技術・手順)
攻撃者の行動パターンを分類する枠組み。Tactics(戦術)、Techniques(技術)、Procedures(手順)の略。脅威インテリジェンス分析で広く使われる。
AES-128 CBC
暗号化の標準規格の一つ。128ビットの鍵長と、前の暗号ブロックを次のブロックの暗号化に連鎖させるCBC(Cipher Block Chaining)モードを組み合わせたもの。
YARAルール
マルウェアの特徴を記述したパターンマッチングのルール。セキュリティ研究者がファイルや通信を自動でスキャン・分類するために使用する。
合法的傍受(Lawful Intercept)
政府や捜査機関が法的手続きに基づいて通信事業者のネットワーク上の通信を傍受するための仕組み。今回はその悪用が懸念されている。
【参考リンク】
Google Threat Intelligence(GTI)(外部)
GoogleとMandiantが統合した脅威インテリジェンスプラットフォーム。今回の調査・妨害活動の中心となった組織で、世界規模の脅威データを提供している。
Mandiant(外部)
Googleが2022年に買収したサイバーセキュリティ企業。今回のGRIDTIDE発見の起点となった調査を実施した、インシデント対応の世界的リーダー。
Google Security Operations(SecOps)(外部)
Googleが提供するクラウドネイティブなSIEM・SOAR統合プラットフォーム。MandiantがUNC2814の不審な活動を検知する際に活用した。
SoftEther VPN(外部)
登大遊氏が筑波大学在学中に開発したオープンソースVPN。UNC2814はそのBridgeコンポーネントを悪用し、外部への暗号化通信を確立していた。
VirusTotal|UNC2814 IOCコレクション(外部)
GTIGが今回公開したUNC2814関連IOCの一覧ページ。登録ユーザーは無料でアクセスし、自組織のネットワーク調査に活用できる。
【参考記事】
Google and friends disrupt suspected Beijing espionage op — The Register(外部)
UNC2814とSalt Typhoonの差異、Googleによるプラットフォーム介入の意義を詳報。42カ国・53組織への侵入数値の裏付けとして参照した。
Google disrupts campaign spying on telecom providers in 70 countries — CyberInsider(外部)
確認・疑い合わせて70カ国以上という規模を報じた記事。C2としてのGoogle Sheetsの悪用手法についても詳述している。
Chinese cyberspies breached dozens of telecom firms, govt agencies — BleepingComputer(外部)
インフラ無効化・被害者通知の実施、UNC2814の長期的な再建の可能性について独自の視点で分析した速報記事。
Inside Salt Typhoon: China’s State-Corporate Advanced Persistent Threat — DomainTools(外部)
Salt TyphoonとUNC2814の違いを理解するための参考資料。合法的傍受システムへのアクセスを狙った手口を詳述している。
Google disrupts Chinese-linked hackers that attacked 53 groups globally — Reuters(外部)
GTIGシニアマネージャーへの取材記事。UNC2814の別名「Gallium」や追加アクセスの可能性についても言及している。
PRC cyber actors target telecommunications companies — Canadian Centre for Cyber Security(外部)
カナダ政府による公式ブレティン。PRC系グループによる通信事業者への標的化が国家レベルの組織的活動であることを裏付ける資料。
【編集部後記】
Google Sheetsは、私たちが日常的に使うあのスプレッドシートです。その普通のセルが、スパイの指令箱になっていた——そう聞くと、少し背筋が冷えませんか。
「クラウドの正規機能を悪用する」という手口は、今後ますます洗練されていくでしょう。みなさんの組織では、クラウドサービスへの異常なAPIアクセスを検知できる仕組みがありますか? ぜひ、この機会に考えてみてください。
