地政学的緊張が高まり続ける中、APAC全域でAPT活動が急速に増加しており、防御側は長期的なアクセスを狙った、より高度な手口を目にするようになっています。
台湾は最も標的とされた環境として際立っており、追跡された攻撃は173件と、他のどの地域ターゲットよりもはるかに多く、諜報活動と戦略的アクセスの焦点としての役割が浮き彫りになっています。
研究者によれば、世界の技術サプライチェーンにおける台湾の重要性と地政学的な位置づけが相まって、情報収集と事前配置を狙う中国関連の脅威アクターにとって、台湾は特に魅力的な標的になっているといいます。
台湾はまた、新しいツールや戦術が早期に現れ、その後ほかの地域にも広がっていく「実証の場」としても機能しています。
台湾のインシデント傾向を監視する防御側は、中国系の侵入手法がどのように進化し拡大していくかについて、早期警戒を得られることが多いのです。
TeamT5は、2025年に67か国に影響を与えたAPT作戦を報告しており、2024年から増加しています。2025年の大きな傾向は、防御が堅固なエンドポイントから、可視性の低い境界(ペリメータ)層へと標的が移っている点です。
Living-off-the-Land(環境寄生)戦術
TeamT5は昨年、27件の重大な脆弱性を追跡しており、その多くはファイアウォール、ルーター、VPNアプライアンスなどのエッジデバイスに影響するものでした。
攻撃者は脆弱性の悪用に、特定のデバイスファミリー向けに作られたカスタムバックドアを組み合わせるケースを増やしており、パッチ適用手順や再起動を経ても生き残るよう設計されています。これにより、境界での単発の侵入が、完全に排除しにくい永続的アクセスへと変わります。
さらに詳しく
サイバー犯罪防止ソフトウェア
セキュリティ情報・イベント管理(SIEM)
セキュリティ意識向上トレーニング
デジタル・フォレンジックツール
ANYRUN
デジタル・フォレンジックサービス
情報セキュリティ
悪用
ペネトレーションテスト
情報セキュリティコンサルティング
脅威アクターは、IoTや小規模なネットワークアプライアンスを静かなインフラとして悪用し、通常のトラフィックに紛れ込むことも増えています。
調査担当者は、侵害されたIoTデバイスが連結され、攻撃者のトラフィックをプロキシして真の発信元を隠す、運用リレーボックス(ORB)ネットワークに組み込まれている事例を観測しました。
別のケースでは、攻撃者がNASシステムをリバースSSHトンネルのリレーとして使用し、ログ上は無害に見えることが多い中継経路を通じてデータ窃取を支援していました。
例:小規模オフィスで侵害されたNASが、流出(エクスフィルトレーション)トラフィックをリモートサーバーへ転送すると、チームが宛先やトンネルのパターンを精査しない限り、その活動は通常の管理者向けトンネリングのように見えてしまいます。
サプライチェーン侵害はさらに加速し、TeamT5が「Fail-of-Trust Model(信頼の破綻モデル)」と呼ぶ状況、すなわち継承された信頼が攻撃経路になるという構図を強めています。
中国関連アクターは上流のITサービスプロバイダーを侵害し、その後、台湾の政府・軍・重要インフラのネットワークへと横展開(ピボット)したと報告されています。
通信事業者に焦点を当てた作戦が指摘されるなど、中国系クラスターに関する業界報告では、国内通信環境内のアクセスを利用し、DNS操作やISPレベルのハイジャックといった長期的な傍受を行っていたとされています。
ステルスなマルウェア展開
攻撃者が日常的な取引関係を武器化すると、サプライヤーへの信頼は負債になります。
マルウェアの配布手法も形を変えました。2025年に追跡された300件超の悪性サンプル全体で、研究者はカスタマイズされた「使い捨て(ワンタイム)」マルウェアの利用増加を確認しました。これは軽量なローダーやダウンローダーで、短期間で作成でき、単一の侵入チェーンに合わせて調整され、シグネチャベースの検知を回避しやすいものです。
多くの作戦では現在、複数のマルウェアファミリーと正規ツールを混在させたマルチツール型の侵入スタックが用いられており、あるコンポーネントが遮断されても、別の要素がアクセスを維持したり、C2(コマンド&コントロール)を再確立したりします。
ツール、ホスト、ネットワーク経路にまたがって痕跡が分散するため、根絶(駆除)はより遅くなります。
これらの手法の背後で、アナリストは、中国系の「国家総力(whole-of-nation)」エコシステムへのより広範なシフトを見ています。そこでは国家の優先事項と、請負業者的な実行形態が融合しています。
2024年のI-Soon流出とそれに続く取り締まり活動など、近年のリークや公的な動きは、スキャン、エクスプロイト開発、ペイロード設計、プロキシ/C2インフラといった領域を、異なる提供者がそれぞれ専門化できる産業モデルを示唆しています。
組織に対してキルチェーン全体を実行するAPTグループが存在する状況では、インジケーター(IOC)だけに依存した防御は、使い捨てツールと高速なインフラのローテーションに対して苦戦する、というメッセージです。
チームはエッジデバイスの強化と監視を行い、サプライヤーのセキュリティ前提を検証し、異常なトンネル作成、デバイス間プロキシ、管理プレーンへの不審なアクセスといった持続的な振る舞いをハンティングすべきです。
連携と地域的な脅威インテリジェンス共有は、攻撃者エコシステム内の役割分担を防御側が把握し、チェーンのより早い段階で作戦を妨害する助けになります。
翻訳元: https://gbhackers.com/apt-hackers-3/
