出典:Grechanyuk Aleksandr(Alamy Stock Photoより)
高度な国家支援型の脅威アクターが、クラウドにおける信頼関係を悪用し、北米の組織から情報を窃取しています。
シルクタイフーン(別名:Hafnium、Murky Panda)は、中国国家安全部(MSS)と関連しており、2021年にMicrosoft Exchangeのゼロデイ脆弱性を悪用した一連の攻撃で世界的に有名になりました。最近では、ITおよびクラウドベースのサプライチェーン攻撃へとシフトしています。2023年以降、CrowdStrikeはこのグループがサードパーティのクラウドベースのソフトウェアやサービスプロバイダーを利用して、本来の標的である北米の政府、テクノロジー、学術、法律、専門サービスなどの著名な組織をスパイしていることを観測しています。
ある観点から見ると、ここで唯一驚くべきことは、他の高度な持続的脅威(APT)がシルクタイフーンと同じ進化を遂げていないことです。「クラウドの信頼関係は複雑で、しばしば過度に広範囲に及びます」とBlack Duckのプリンシパルセキュリティコンサルタント、Vijay Dilwale氏は述べています。「サービスプリンシパル、アプリ登録、テナント間の権限は、統合を容易にするために設計されており、国家レベルの攻撃に耐えるためのものではありません。これがシステミックリスクを生み出し、1つの弱い信頼リンクが複数の環境への扉を開いてしまうのです。」
企業クラウドの侵害
他の多くの中国系APTと同様に、シルクタイフーンも公開されたSOHO(小規模オフィス/家庭用)デバイスを侵害し、Webシェルを展開して持続性を確立することが知られています。これはゼロデイやnデイ脆弱性、例えば CVE-2023-3519(CitrixのNetScaler ADCおよびNetScaler Gatewayの重大な脆弱性)などを利用して実現されています。CVE-2023-3519は、認証されていないリモートコード実行を許すため、共通脆弱性評価システム(CVSS)で10点中9.8点の評価を受けました。その深刻さにもかかわらず、公開後も長期間にわたり広く未修正のままでした。
インターネットに接続された機器だけでなく、少なくとも2件において、このグループはゼロデイ脆弱性を悪用してSaaS(サービスとしてのソフトウェア)プロバイダーのクラウド環境へのアクセスを獲得しました。CrowdStrikeはこれらの攻撃を「信頼関係の侵害」と呼んでいます。
CrowdStrikeが公開したブログ記事の初期バージョンでは、このグループがCommvault Web Serverの未公開脆弱性CVE-2025-3928を悪用したと示されていました。しかし、その後ブログ記事は更新され、CVE-2025-3928への言及は削除されました。Commvaultはクラウドに展開可能なデータ管理プラットフォームです。Dark Readingはこの詳細が報告書から削除された理由についてCrowdStrikeにコメントを求めましたが、記事掲載時点で同社からの回答はありませんでした。
感染経路が何であれ、シルクタイフーンは通常、標的を直接侵害するわけではありません。代わりに、SaaSプロバイダーのクラウドインフラについて調査し、下流の顧客へのアクセスを得ようとします。例えば2件の事例では、攻撃者がSaaSプロバイダーのアプリケーション登録シークレットにアクセスし、顧客のクラウドアカウントに接続する際にアプリ自体として認証できるようになりました。CrowdStrikeはブログ記事でこの点を明言していませんが、このケースの説明は、今年初めに攻撃者がCVE-2025-3928を悪用してCommvaultの顧客のMicrosoft 365アカウントを侵害していたというニュースと非常によく似ています。
別のケースでは、シルクタイフーンは信頼されたMicrosoftクラウドソリューションプロバイダーを侵害しました。「admin agent」ユーザーを侵害することで、プロバイダーの顧客のEntra IDテナントに対するグローバル管理者権限を獲得しました。理論的には、この最高権限を使って数百、数千もの下流顧客を攻撃できたはずですが、実際にはシルクタイフーンは標的に集中し、単一の被害者テナント内に複数の持続的な足場を築き、盗んだメールを吸い上げていました。
この脅威アクターが情報窃取のために用いる主な武器は、「CloudedHope」と呼ばれるカスタムマルウェアファミリーです。Golangで書かれ、おそらくOSS(オープンソースソフトウェア)プログラムで難読化されており、Linuxシステム向けに作られています。本質的にはリモートアクセス型トロイの木馬(RAT)ですが、特に解析回避機能や、監視されている兆候を察知した場合に偽装行動を取る能力が注目されています。
クラウドにおけるAPT活動
Black DuckのDilwale氏によれば、クラウドはシルクタイフーンのような巧妙なハッカーにとってチャンスに満ちています。「クラウドはその規模と信頼モデルのために魅力的です。単一のSaaSプロバイダーを侵害したり、サービスプリンシパルを盗んだりすると、多くの下流環境に連鎖的に影響が及びます。また、クラウドのIDやAPIはデフォルトで信頼されているため、そのアクセスはしばしば通常の管理者活動のように見えます」と彼は述べています。「これにより、諜報活動はよりステルス化し、発見が困難になります。」
一方でDilwale氏は、「クラウドは攻撃者にとって逆風にもなります。プロバイダーは積極的にパッチを適用し、ゼロデイ脆弱性は長く有効ではなく、活動はテナント、プロバイダー、IAMシステム全体でログとして記録されます。もし防御側がこれらのシグナルをつなぎ合わせれば、特に大規模に活動する攻撃者は発覚のリスクを負うことになります」とも指摘します。
しかし最終的には、サイバー防御担当者が事後対応しても、根本的な解決にはなりません。「より大きな問題はアーキテクチャにあります。組織はサードパーティアプリやSaaSプロバイダーへの暗黙の信頼に大きく依存しており、IDレイヤーでの『ゼロトラスト』は依然として目標に過ぎません。こうした信頼の前提が見直されない限り、敵対者は引き続きそれを悪用し続けるでしょう」と彼は警告します。
CrowdStrikeもブログ記事で同様の見解を示し、「クラウド環境に大きく依存する組織は、クラウドにおける信頼関係の侵害に本質的に脆弱である」と結論付けています。
翻訳元: https://www.darkreading.com/cloud-security/silk-typhoon-north-american-orgs-cloud