中国の工作員がSentinelOneに侵入をトライ わざわざセキュリティ企業を狙うワケ：Cybersecurity

SentinelOneに侵入を試みた中国に関連している工作員は、世界中の数十の重要インフラ組織に対するサイバー攻撃に関与していたことが判明したという。わざわざ攻撃者がセキュリティ企業を狙う理由はどこにあるのか。

[Eric Geller，Cybersecurity Dive]

　サイバーセキュリティ事業を営むSentinelOneが2025年6月9日（現地時間、以下同）に公開した報告書によると（注1）、中国政府に支援されたハッカーが、同社のサーバの一つを監視し、ITベンダー1社をハッキングすることでSentinelOneへの侵入を試み、失敗したという。

なぜ攻撃者はサイバーセキュリティ企業を狙うのか？

　自社システムへの侵入の試みを調査する中で、SentinelOneは中国に関連するハッカーたちが世界中の幅広い政府機関や（電力やガス、鉄道、空港などの）重要インフラ組織を標的にしていたことを発見した。

　今回公開された新たな調査結果は、セキュリティ企業そのものがしばしば最優先の標的となる事実を浮き彫りにしている。

　SentinelOneの報告書は、2つの脅威活動に焦点を当てている。1つ目は、2024年10月に同社のインターネット接続サーバの一つに対して実施された偵察キャンペーンであり、これは同社が2025年4月に明らかにした攻撃者「PurpleHaze」によるものとされている（注2）。2つ目は、2025年の初めに発生した、SentinelOneのハードウェアを管理するITサービス企業への侵入であり、これは中国に関連するマルウェア「ShadowPad」によるものとされている（注3）。

　SentinelOneの研究者は「PurpleHazeおよびShadowPadは、異なるターゲットに対して、部分的に関連する複数の侵入が実行された。これらの侵入は2024年7月〜2025年3月にかけて発生している。被害を受けたのは、南アジアの政府機関組織やヨーロッパのメディア組織、70を超えるさまざまな業種の組織である」と記した。また、SentinelOneの広報担当者によると、これらの業種には製造および政府機関、金融、通信、研究、エネルギー、テクノロジー、食品、農業、医療、エンジニアリングが含まれているという。

　SentinelOneの広報担当者は「観察に基づき、当社は中国に関連するハッカーがこれら70の全ての組織に侵入したと考えている」と述べた。ただし、被害組織ごとの侵入期間には大きな差があり、長期間にわたって侵入が続いたケースもあれば、比較的早期に対処されたケースもあったという。

　攻撃者はSentinelOneのハードウェア供給業者をハッキングすることで得たアクセス権を利用し、同社に重大な損害を与えようとしたようだ。広報担当者は「攻撃者たちは、業務上のアクセス権を利用して、従業員の自宅に出荷される前のノートPCにマルウェアを仕込んだり、OSのイメージを改ざんしたり、従業員の所在地や個人情報を収集する手段として利用したりすることができた可能性がある」と述べた。

　SentinelOneは、次のように話した。

　「PurpleHazeおよびShadowPadによる活動の責任が中国にあるという強い確信を持っている。PurpleHazeによる一部の侵入は、『APT15』や『UNC5174』として公開された中国のサイバースパイグループと重なる攻撃者によるものだと考えている」

　南アジアの政府機関に対する侵入の試みは2024年10月に発生し、これはSentinelOneのインターネット接続サーバにハッカーがアクセスし、後続の攻撃に向けた偵察をした同じ時期であった。SentinelOneは、これらの侵入が同一の攻撃者、または複数の攻撃者にインフラを提供している第三者によるものであると判断した。その根拠として、インフラの管理方法や、ドメインの作成および命名の手法における顕著な類似点を挙げている。

　これら2つの攻撃が実行される数週間前、SentinelOneは、中国に関連する工作員が欧州のメディア企業をハッキングしている様子を観測していた。これら3件の攻撃には共通点があり、バックドア「GOREshell」や、「The Hacker’s Choice（THC）」という集団が提供するオープンソースツールをはじめとする同様のツールが使用されていた。SentinelOneは、「国家支援型の工作員がTHCのツールを使用する様子を確認したのは、これが初めてである」と述べた。

　欧州のメディア企業に侵入した工作員は、中国に関連するインフラを使用し（注4）、Ivantiの製品に関連する未公表の2つの脆弱（ぜいじゃく）性「CVE-2024-8963」および「CVE-2024-8190」を連鎖的に悪用した（注5）（注6）。

　SentinelOneは「この手口から、中国国家安全省（MSS）の委託業者であり、初期侵入や脆弱性の悪用を専門とするUNC5174の関与が示唆される」と述べている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、2024年1月に、この2つのIvantiの脆弱性を組み合わせて悪用する攻撃者の存在について警告を発していた（注7）。

　SentinelOneは、PurpleHazeおよびShadowPadによる活動を取り上げた理由について「ハッカーがセキュリティベンダーを標的にする頻度の高さに対する認識を改めるためだ」と述べている。

　研究者たちは次のように記述した。

　「サイバーセキュリティ企業は、防御的な役割や顧客環境に対する深い可視性、敵対者の活動を妨害する能力を備えているため、攻撃者にとって価値の高い標的なのだ。調査結果は、中国に関連する攻撃者がサイバーセキュリティ企業に深い関心を持っていることを示唆している」

（注1）Follow the Smoke | China-nexus Threat Actors Hammer At the Doors of Top Tier Targets（SENTINEL LABS）
（注2）Top Tier Target | What It Takes to Defend a Cybersecurity Company from Today’s Adversaries（SENTINEL LABS）
（注3）ShadowPad | A Masterpiece of Privately Sold Malware in Chinese Espionage（SENTINEL LABS）
（注4）IOC Extinction? China-Nexus Cyber Espionage Actors Use ORB Networks to Raise Cost on Defenders（Google Cloud Blog）
（注5）CVE-2024-8963 Detail（NIST）
（注6）CVE-2024-8190 Detail（NIST）
（注7）Threat Actors Chained Vulnerabilities in Ivanti Cloud Service Applications（CISA）

原文へのリンク