米国とカナダの主要なセキュリティ機関は、中華人民共和国(PRC)に支援されているとみられるハッカーが使用している新たなサイバーセキュリティ脅威「BRICKSTORM」について、重大な警告を発しました。
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、およびカナダ・サイバーセキュリティセンター(Cyber Centre)は、これらのハッカーがこのツールを使って重要なネットワークに侵入し、長期間にわたって潜伏していると述べています。
BRICKSTORMとは何か、誰が危険にさらされているのか?
BRICKSTORMは基本的にバックドアであり、攻撃者に気付かれずにシステムを制御できる秘密の入口を与えるものです。Goプログラミング言語で構築されており、WindowsおよびLinux環境を含む幅広い互換性を持ちます。CISAは、2025年12月4日に公開したプレスリリースの中で、主に政府サービス・施設分野および情報技術分野の組織を標的としていると説明しています。
CISAはまた、ハッカーたちが大規模な仮想コンピュータネットワークを管理するVMware vSphereプラットフォームに特に焦点を当てていると指摘しています。いったんハッカーがアクセスを得ると、仮想マシンのスナップショットを盗み出してユーザー名やパスワードを入手したり、自分たち専用の隠れた秘密の仮想マシンを作成したりすることができます。
参考までに、この長期的な「持続的」アクセスは、2024年4月から少なくとも2025年9月3日まで続いていたことが確認されています。この活動は、ハッカーが米国の法律事務所、テクノロジー企業、ビジネスアウトソーシング企業を標的にしている様子が観測された2025年9月に、Hackread.comによってすでに報告されています。
攻撃はどのように行われるのか
CISAのマルウェア分析レポート(PDF)によると、同庁は他組織が脅威を検知・除去できるようにするため、侵害された組織から入手した8つのBRICKSTORMサンプルを分析しました。あるケースでは、国家支援のハッカーがまず被害者のセキュリティゾーン(DMZ)内のWebサーバーへの侵入に成功しました。
そこから彼らは、マスターキーのような役割を持つサービスアカウントの認証情報を盗み出し、ドメインコントローラーやActive Directory Federation Services(ADFS)サーバーなど、他の重要なシステムに侵入しました。その後、内部のVMware vCenterサーバーにBRICKSTORMを展開しました。
一度インストールされると、このマルウェアは、妨害されても自動的に再インストールする組み込み機能を利用して、自身の永続性を確保します。また、複数の暗号化レイヤーを用いて通信内容を隠し、ハッカー側のコントロールセンターとの通信を極めて発見しづらくしており、非常に懸念されます。
なお、すべてのサンプルがハッカーにステルス性の高い制御を与える一方で、永続性の確保方法や、被害者ネットワーク内部へのさらなるトンネリングを支援するSOCKSプロキシ機能を含むかどうかなど、細部には違いが見られました。
各機関は、影響を受けるすべての組織に対し、新たに公開された侵害指標(IOC)および検知シグネチャを用いて自社システムを確認し、BRICKSTORMの活動の兆候を直ちに報告するよう強く求めています。
専門家の見解:仮想化基盤そのものを狙う攻撃
この勧告についての独占コメントとして、脅威インテリジェンス企業SOCRadarのCISOであるEnsar Seker氏はHackread.comに対し、「このキャンペーンで特に警戒すべき点は、歴史的にあまり注目されてこなかったOSやアプリケーションではなく、仮想化レイヤーそのものを標的にしていることです」と述べました。
Seker氏は、管理コンソール(vCenter)が侵害されると、攻撃者は「仮想インフラ全体を広範に把握できるようになり、多くの従来型エンドポイント防御を迂回できてしまう」と強調しました。
同氏は最後に、このマルウェアは「単なる新たなマルウェアキャンペーンではない。敵対者がスタックのより上位へと標的を移し、個々のVMではなく仮想化の基盤そのものを狙い始めていることを示す警鐘だ」と結論づけました。
翻訳元: https://hackread.com/chinese-state-hackers-brickstorm-vmware-systems/
