コンテンツにスキップするには Enter キーを押してください

北米のAPTがExchangeゼロデイを利用し中国を攻撃

投稿日 2025年7月10日

アメリカ国旗の前でノートパソコンを操作するフード付きのマスクをした人物

出典:Pixel-shot(Alamy Stock Photo経由)

西側の高度持続的脅威(APT)が、Microsoft Exchangeの未知のゼロデイ脆弱性を悪用し、中国の軍事および主要な技術産業から高価値の情報を盗み出しています。

先週マレーシアで開催された「国家サイバー防衛・セキュリティ展示会・会議(CYDES)」にて、QiAnXin TechnologyのRedDripチームの研究者が、長期にわたるスパイ攻撃を詳細に報告しました。攻撃者はこれまで知られていなかった脅威グループで、「NightEagle Group」またはAPT-Q-95と名付けられています。報告によると、この脅威グループはMicrosoftアカウントを侵害し、米国が関心を持つ中国の組織(半導体メーカー、AIや量子技術専門企業、防衛関連企業など)をスパイしてきた履歴があります。

今回のケースでは、NightEagleは1年にわたりMicrosoft Exchangeの謎のバグを悪用し、RedDripの説明によれば、ある非公開組織から「すべての主要なターゲットのメール」を吸い上げていたようです。

MS Exchangeを悪用した中国情報の窃取

この攻撃キャンペーンは、QiAnXinのネットワーク検知・対応プログラムが「synologyupdates.com」への異常なDNSリクエストを検出したことで明らかになりました。Synologyは台湾のネットワーク接続型ストレージ(NAS)機器メーカーですが、「synologyupdates」は同社の登録ドメインではありません。

古典的なソフトウェアアップデート詐欺の手口でNightEagleのマルウェアが隠されていました。それは正規のオープンソース(OSS)ツール「Chisel」のカスタムバリアントです。Chiselは、ファイアウォールを越えて2台のコンピュータ間に暗号化トンネルを作るプログラムで、ネットワーク侵入に有用です。NightEagleは、GolangベースのChisel派生版をターゲットのシステムでスケジュールタスクとして実行し、C2(コマンド&コントロール)インフラへの安全なトンネルを作成していました。

詳細は不明ですが、攻撃者はこのトンネルを使ってターゲットのExchangeメールサーバーとやり取りし、最終的に「machineKey」を盗み出しました。machineKeyはサーバーの設定ファイルに保存されており、認証クッキーやセッショントークンなど極めて機密性の高いデータの暗号化・検証に使われます。NightEagleはこの重要なピースを利用してサーバーに悪意のあるコードを実行させ、組織内の誰のメールデータも遠隔で読むことができるようになりました。

Dark Readingは、この問題が発生した可能性のあるExchangeの脆弱性についてMicrosoftに問い合わせています。

米国の攻撃的サイバー作戦

米国の自由なメディア環境や、主に西側顧客を対象とする活発なサイバーセキュリティ産業(これが他地域での可視性に影響)、加えてタイムゾーンの利便性、中国共産党(CCP)の制限的な政策、その他無数の要因が組み合わさり、中国の脅威アクターが西側を標的にしたという話がインターネット上に溢れ、逆のストーリーはほとんど語られません。

しかしこれは、世界の両側からのサイバー攻撃の実際のバランスを必ずしも反映しているわけではありません。RedDripの研究者は中国のネットワークに可視性を持ち、注目する脅威アクターが米国太平洋時間の一般的な午前9時から午後6時の勤務時間に一貫して活動していることを突き止めました。したがって、脅威アクターは北米西海岸に所在すると特定しましたが、米国人かカナダ人かの断定は避けています。

Bambenek Consultingの社長ジョン・バンベネック氏は「これは驚くことではありません。我々にはまさにこれを任務とする機関が存在します。一般的に米国の情報コミュニティは国家安全保障目標を支援する伝統的な諜報活動に注力しています。NSAや米国サイバー軍はこの種の活動の主要なプレイヤーですが、攻撃的なサイバー能力は米国情報コミュニティのすべての構成機関に存在します」と述べています。

米国が攻撃的サイバー作戦を行い、中国の半導体、AI、防衛産業を標的とするのは予想通りです。より議論を呼ぶのは、脅威アクターと米国のテクノロジーセクターとの重なりです。米国政府は自国開発技術にバックドアを仕込む中国のような法的な白紙委任状を持っていませんが、過去には国内企業に協力を働きかけ、さまざまな程度の 成功を収めてきました。

本件におけるMicrosoftの立ち位置について、バンベネック氏は「シリコンバレーが自社製品を意図的に弱体化させたり、脆弱性を見逃したりする可能性は低いでしょう。その理由は、ゼロデイを使うたびに発見・リバースエンジニアリングされ、他の組織に利用されるリスクが高まるからです」と評価しています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/north-american-apt-exchange-zero-day-attacks-china

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です