Last Updated on 2025-05-14 19:47 by admin
トレンドマイクロは2025年5月13日、中国語を話すAPT(高度持続的脅威)グループ「Earth Ammit」が2023年から2024年にかけて台湾と韓国、中国のドローンサプライチェーンを標的とした複数の攻撃キャンペーンを実施していたと報告した。
この攻撃は「VENOM」と「TIDRONE」という2つの異なるキャンペーンで構成されていた。最初の波である「VENOM」キャンペーンは2023年から2024年初頭にかけて活動し、主にソフトウェアサービスプロバイダーを標的とした。このキャンペーンでは、攻撃者は検出や追跡が困難なオープンソースツールを主に使用し、「VENFRPC」と呼ばれるカスタマイズされたFast Reverse Proxy Clientを唯一のカスタムツールとして展開した。
2つ目の波である「TIDRONE」キャンペーンは2024年に観測され、台湾の軍事産業と衛星セクターを直接標的とした。このキャンペーンでは、攻撃者は「CXCLNT」と「CLTEND」という2つのカスタムバックドアを使用してサイバースパイ活動を行った。
被害は台湾、韓国、中国の組織に及び、軍事、衛星、重工業、メディア、テクノロジー、ソフトウェアサービス、ヘルスケアセクターなど多岐にわたる産業に影響を与えた。トレンドマイクロの調査によると、複数の被害組織が同じERP(企業資源計画)ソフトウェアを使用していたことが判明した。
Earth Ammitの長期的な目標は、サプライチェーン攻撃を通じて信頼されたネットワークを侵害し、下流の高価値なエンティティを標的にして影響範囲を拡大することだった。この攻撃を受けた組織は、認証情報やスクリーンショットなどのデータ窃取のリスクにもさらされていた。
References:
Chinese Actor Hit Taiwanese Drone Makers, Supply Chains
【編集部解説】
今回のEarth Ammitによる台湾、韓国、中国のドローンサプライチェーンへの攻撃は、現代のサイバー脅威の進化形を示す重要な事例です。トレンドマイクロの最新レポートによると、この攻撃は単なるドローンメーカーへの攻撃ではなく、より広範な産業エコシステムを標的にした組織的な作戦だったことが明らかになっています。
特に注目すべきは、攻撃者が採用した「二段階戦略」です。最初のVENOMキャンペーンでは、オープンソースツールを活用して上流のソフトウェアベンダーやサービスプロバイダーに侵入し、その後のTIDRONEキャンペーンでは、より高度なカスタムマルウェアを使用して軍事・衛星関連組織を直接標的にしています。これは「広く浅く」から「狭く深く」へと移行する洗練された攻撃手法を示しています。
サプライチェーン攻撃の恐ろしさは、一度上流の信頼されたベンダーが侵害されると、その影響が下流の顧客全体に波及することにあります。Earth Ammitはこの手法を巧みに利用し、直接攻撃が困難な防衛関連組織へのアクセスを獲得しました。
台湾のドローン技術は軍事的にも民間用途でも重要性を増しており、中国がこの分野の技術情報を収集しようとする動機は明らかです。特に台湾の軍事用ドローン技術は、有事の際に重要な役割を果たす可能性があるため、高価値の情報収集対象となっています。
このような攻撃が示唆するのは、サイバー空間における地政学的緊張の高まりです。2025年の現在、台湾海峡を取り巻く情勢は依然として緊迫しており、物理的な軍事衝突のリスクだけでなく、サイバー空間での情報戦も激化しています。
企業や組織にとっての教訓は明確です。サードパーティリスク管理の重要性が一層高まっており、信頼できるベンダーであっても、そのセキュリティ体制を継続的に評価する必要があります。特にソフトウェアサプライチェーンのセキュリティは、SBOMs(ソフトウェア部品表)の活用やゼロトラストアーキテクチャの採用など、多層的な対策が求められます。
また、今回の事例で注目すべきは「ファイバーベースの回避技術」の使用です。これはWindows OSのファイバー機能を悪用して検出を回避する高度な手法で、従来のセキュリティ対策をすり抜ける可能性があります。このような新しい攻撃手法に対応するためには、セキュリティチームの継続的な教育と、最新の脅威インテリジェンスへのアクセスが不可欠です。
読者の皆様にとって、この事例は単なるセキュリティインシデントではなく、地政学、先端技術、サプライチェーンセキュリティが交差する複雑な現代の課題を示しています。特に技術系企業に携わる方々は、自社のサプライチェーンセキュリティを再評価し、信頼できるパートナーであっても定期的なセキュリティ監査を実施することをお勧めします。
【用語解説】
APT(高度持続的脅威):
特定の組織や国家を標的とした、長期間にわたって継続する高度なサイバー攻撃。一般的なマルウェアと異なり、特定の目的を持ち、検出を回避するための高度な技術を使用する。
サプライチェーン攻撃:
最終的な標的に直接攻撃するのではなく、その標的が信頼するサプライヤーやベンダーを経由して侵入する攻撃手法。例えるなら、城を直接攻めるのではなく、城に食料や物資を運ぶ商人に成りすまして内部に侵入するようなものである。
ERP(Enterprise Resource Planning):
企業の経営資源を統合的に管理し、経営の効率化を図るための基幹系情報システム。人事・会計・生産・販売・在庫など企業活動全般をカバーする。
C2(Command and Control):
マルウェアが攻撃者と通信するために使用するサーバーやインフラストラクチャ。攻撃者はC2を通じて感染したシステムに指示を送ったり、データを抽出したりする。
ファイバーベースの回避技術:
Windows OSのファイバー機能(軽量スレッド)を悪用して、セキュリティソフトの検出を回避する技術。通常のプロセス監視をすり抜けることができる。
バックドア:
システムのセキュリティを迂回して不正アクセスを可能にするプログラム。
ゼロトラスト:
「信頼しない、常に検証する」という考え方に基づくセキュリティモデル。社内ネットワークであっても自動的に信頼せず、すべてのアクセスを常に検証する。
【参考リンク】
トレンドマイクロ公式サイト(外部)
業界をリードするサイバーセキュリティソリューションを提供するグローバル企業の公式サイト
Digiwin Software公式サイト(外部)
中国および東南アジア地域における業界特化型ソフトウェアソリューションプロバイダー
【参考動画】
【編集部後記】
サプライチェーン攻撃は「信頼」を武器にする巧妙な手法です。皆さんの組織では、取引先やベンダーのセキュリティ対策をどのように評価していますか?また、自社のシステムに入るソフトウェアの検証プロセスはありますか?セキュリティは最も弱い環の強さに依存します。「うちは標的にならない」と思わずに、サプライチェーン全体を見渡した防御戦略について、ぜひチーム内で議論してみてはいかがでしょうか。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
デジタルの窓口 代表
デジタルなことをまるっとワンストップで解決
#ウェブ解析士
Web制作から運用など何でも来い
https://digital-madoguchi.com
WACOCA: People, Life, Style.