Googleが発見した史上最大のサプライチェーン攻撃 F5はソースコードが流出

大規模なサプライチェーン攻撃の一部が見え始めた。Googleが発見したこの攻撃では、攻撃側が長い時間を掛けて巧妙な侵入を図ったことと、EDRを回避したために攻撃の全貌がいまだに明らかになっていない。

[Eric Geller，Cybersecurity Dive]

　Googleは2025年9月24日（現地時間、以下同）、これまでで最も重大だと言えるサプライチェーン攻撃を発見したと発表した（注1）。

　中国政府と関係のある高度な攻撃者グループが、テクノロジー企業やSaaSプロバイダー、法律事務所などに侵入して、極めて巧妙なマルウェアを用いて企業やその顧客から機密データを盗み出していた。

Googleが発見した史上最大のサプライチェーン攻撃　F5はソースコードが流出

　Googleによると、攻撃者はまずサービスプロバイダーを狙い、そこからサービスプロバイダーを利用している企業のネットワークへと侵入先を切り替えた。狙われた企業の一つには法律事務所があった。そこに到達した攻撃者は特定の人物の電子メールを調べて、米国の国家安全保障や国際貿易に関する情報を狙っていたという。

　Googleによると、他の狙いもあった。攻撃者は広く使われているエンタープライズ向け技術のソースコードも盗み出していた＊。それらの情報を分析して公表されていない脆弱（ぜいじゃく）性を特定し、将来の攻撃に利用する目的があるとみられる。一部のエンタープライズ向け技術ベンダーへの侵入では、ソフトウェア開発者の電子メールボックスを検索し、製品の欠陥に関する情報を探していたことが確認された。

＊Mandiantの報告書が公開された後、セキュリティベンダーのF5は2025年10月15日に同社のアプリケーションデリバリーコントローラー「BIG-IP」のソースコードの一部と同製品の未公表の脆弱性に関連する情報を含むファイルが盗み出されたと発表した（キーマンズネット編集部）

　Googleは、「UNC5221」と呼ばれる中国に関連する攻撃者グループが攻撃の大部分を実行していると考えているが（注2）、複数のチームが同じ攻撃ツールを共有することが多いため、中国に関連する他のグループも本件に関与している可能性が高いようだ。

　Googleのサイバーセキュリティの専門家は、2025年9月23日にワシントンで開催された同社の「Cyber Defense Summit（サイバー防衛サミット）」の記者説明会で、攻撃活動は現在も継続中だと明らかにした。

　Googleの脅威インテリジェンス部門（GTIG）のジョン・ハルトクイスト氏（チーフアナリスト）は次のように述べた。

　「これは米国国内で発生している問題であり、これまでとは次元の違う攻撃だ。時間の経過とともに、さらに多くの事実が明らかになっていくだろう」

　ハルトクイスト氏は、今回の攻撃を「非常に巧妙な諜報作戦」と表現し、「大手ベンダーから顧客へと攻撃対象を広げていく手口が、ITインフラの監視や管理に強みのあるSolarWindsに対するロシアによるスパイ活動などの過去のサプライチェーン攻撃を想起させる」と述べた（注3）。さらに同氏は、「攻撃者は川上へと移動し、自らの関心に応じて標的を選んでいる」と説明した。

EDRから見つからないマルウェアで1年も潜伏

　Googleによると、今回の攻撃で特に深刻なのは、攻撃者が「Brickstorm」と呼ばれるマルウェアのバックドアを使っている点だという（注4）。攻撃者は、「VMware ESXi」のハイパーバイザーやメールセキュリティゲートウェイ、脆弱性スキャナーをはじめとするアンチウイルスソフトを実行できないシステムや、EDR（Endpoint Detection and Response）にバックドアを設置している。EDRの監視を回避できるため、通常の攻撃者よりもはるかに長く潜伏できる。Googleによると、被害を受けた企業が侵入に気付くまでの平均期間は393日であり、これは最近の攻撃および検知の迅速化の流れに逆行する極めて長い数値だという。

　Googleは、企業が自社のネットワーク内におけるBrickstormの痕跡をスキャンできるツールを公開するとともに、過去のバックアップデータから侵入の形跡を調査できる「YARA rules」を提供すると発表した。同社の専門家によると、攻撃者は自らの痕跡を消す技術にも長けており、痕跡をたどるのは極めて困難だという。

　Googleのグループ企業であり、サイバーセキュリティ事業を営むMandiantのチャールズ・カーマカル氏（最高技術責任者）は次のように述べた。

　「多くの組織が、（このツールを使うことで）過去に受けた侵害または現在進行中の侵害の証拠を発見することになるだろう」

　カーマカル氏はBrickstormの痕跡を確認した企業は、徹底的に調査する必要があると強調した。同氏は「攻撃者は高度な技術を有しており、極めて手強い存在だ」と述べた。

IPアドレスでは攻撃を識別できない

　カーマカル氏は記者団に対し、今回の侵入活動を主導する役割を担っている中国関連のグループ「UNC5221」について、「過去数年間の米国国内の例と比較して、攻撃の頻度や深刻さ、複雑さのいずれの点においても最も活動が盛んな攻撃者だ」と述べた。

　カーマカル氏によると、UNC5221の攻撃者は極めてステルス性が高く、同じIPアドレスを持つ攻撃用インフラを再利用することは決してなく、痕跡のパターンを残さないようにしているという。同氏は「攻撃者を検知したり、攻撃の実態を調査したりするのは非常に困難だ」と述べた。

　UNC5221は極めて忍耐強いことでも知られている。ある調査においてGoogleは、被害を受けた組織が侵入の兆候を調べている間、攻撃者がバックドアを数カ月にわたって休眠状態に設定していた事例を確認したという。GTIGのオースティン・ラーセン氏（主任脅威アナリスト）は「非常に巧妙な手口であり、攻撃者が長期戦を見据えて行動していることの証しでもある」と語った。

　こうして組織が侵入を発見するまでに長い時間が経過してしまう。初期的な侵入がログに残っていたとしても、保存期間を過ぎて自動的に削除された後で被害に気付くケースが大半だ。そのため、Googleの研究者は攻撃者がどのようにして最初に侵入したのかを特定するのが難しいと語った。一方、同社は、証拠から判断して、攻撃者は「Ivanti Connect Secure」というVPN製品を含む幾つかの周辺機器やリモートアクセス用のインフラ機器を侵害していた可能性が高いとしている。直近2年間において、Ivantiの脆弱性を最も積極的に悪用してきた主要な攻撃グループの一つがUNC5221だからだ（注5、注6）。

　Googleの専門家は「復旧作業が現在も続いているため、攻撃を受けた企業や、サプライヤー経由で侵害された企業を含む被害組織の名称は公表しない」と述べた。同社は、今回の継続中の攻撃を公表した理由について、「攻撃の実態をより詳しく把握するとともに、今後被害を受ける可能性のある企業へ警告するためだ」と説明した。

　「今回の攻撃キャンペーンの影響は今後6カ月、12カ月、18カ月、24カ月と続くことになるだろう。時間の経過とともに新たな事実が明らかになり、被害を受けた企業が侵入を受けた事実を新たに公表するためだ」（カーマカル氏）

出典：China-linked groups are using stealthy malware to hack software suppliers（Cybersecurity Dive）
注1：Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors（Google Cloud Blog）
注2：Ivanti customers confront new zero-day with suspected nation-state nexus（Cybersecurity Dive）
注3：One year later: Has SolarWinds changed how industry builds software?（Cybersecurity Dive）
注4：Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies（Google Cloud Blog）
注5：Ivanti customers confront new zero-day with suspected nation-state nexus（Cybersecurity Dive）
注6：Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457)（Google Cloud Blog）

原文へのリンク