コンテンツへスキップ
ホーム » サイバーニュース » 中国系ハッカー「Jewelbug」、ロシアのIT企業に5か月間潜伏か

中国系ハッカー「Jewelbug」、ロシアのIT企業に5か月間潜伏か

中国と関連があるとされるサイバー攻撃グループ「Jewelbug」が、ロシアのITサービス企業を約5か月間にわたり侵害していたことが報告されました。攻撃者はソースコード管理システムやビルド環境にアクセスしており、サプライチェーン攻撃への発展も懸念されています。発見したのはSymantecの脅威ハンティングチームです。The Hacker News:Chinese Threat Group ‘Jewelbug’ Quietly Infiltrated Russian IT Network for Months

この記事のポイント

影響のあるシステム

  • ロシア国内のITサービス事業者(開発環境・ソース管理サーバ)
  • 南米・アジア太平洋地域の政府・通信・製造・物流・小売組織
  • WindowsおよびLinux環境(FINALDRAFT/ShadowPadなど複数のバックドアに対応)

推奨される対策

  • 最新のセキュリティパッチを適用し、クラウドストレージの通信を監査する
  • 開発環境・CI/CDパイプラインへのアクセス権限を最小化する
  • イベントログの削除や異常なOneDrive通信を検知できるよう監視体制を整備する
  • マルウェア「ShadowPad」「FINALDRAFT」関連のIoCを参照し検知ルールを更新する

上記の対策は、参考文献・記事で発表されている事実に基づき日本の読者向けに整理したものです。

この記事に出てくる専門用語

  • Jewelbug:中国系とされる高度持続的脅威(APT)グループ。政府機関やIT企業を標的に攻撃活動を行う。
  • サプライチェーン攻撃:開発・配布経路を悪用して、利用者に不正ソフトウェアを配布する手口。
  • BYOVD攻撃:「Bring Your Own Vulnerable Driver」。脆弱な正規ドライバを悪用して権限を昇格する攻撃手法。

ロシア企業に潜伏した中国系ハッカーの活動

Broadcom傘下のSymantecは、2025年1月から5月にかけてロシアのITサービス企業のネットワークに侵入していた脅威グループ「Jewelbug」の存在を確認しました。攻撃者はコードリポジトリやビルドシステムにアクセスしており、ソフトウェアの改ざんを通じて顧客企業への感染拡大を狙っていた可能性があります。また、取得したデータはロシア国内のクラウドサービス『Yandex Cloud』へ送信されていたと報告されています。これまで同グループは東南アジアや南米を主な標的としていましたが、今回の活動で地理的な範囲を大きく拡大したと見られます。

使用されたツールと技術的手口

報告によると、攻撃ではMicrosoftのデバッガ「cdb.exe」を改変して使用し、アプリケーションの実行制御を回避してシェルコードを実行していました。また、資格情報の取得にはMimikatzやLSASSのダンプを利用し、Windowsのタスクスケジューラを使って永続化を確立した形跡も確認されています。さらに、イベントログを消去して痕跡を隠す行為や、セキュリティソフトを停止させるKillAVツールの使用も見られました。これらは、APT攻撃に共通する「ステルス性」と「持続性」を重視した特徴といえます。

クラウド悪用とグローバル拡大の兆候

Jewelbugは、Microsoft Graph APIとOneDriveを利用してコマンド制御(C2通信)を行っていたことが明らかになりました。この方法は通常の業務トラフィックに紛れるため、侵入検知を著しく困難にします。さらに、グループは南米の政府機関や台湾、南アジアのIT企業への侵入にも関与しており、DLLサイドローディングやShadowPadなどの高度なマルウェアを使用していました。Symantecは、こうした活動の広がりから同グループの攻撃力が進化していると分析しています。中国とロシアの関係が政治的に強化される一方で、国家間を越えた情報収集活動が継続している現実を示しています。

国内組織が今すぐ確認すべきセキュリティポイント

国内の企業や自治体でも、開発環境やクラウドストレージの安全性を再確認する必要があります。特に、外部ストレージサービス(例:OneDrive、Google Drive)を利用したC2通信の検知体制が整っていない場合、侵入を長期間把握できないリスクがあります。また、ソフトウェアサプライチェーンの管理を強化し、署名済みビルドや依存パッケージの検証プロセスを明確化することが重要です。さらに、ログ削除やスケジュールタスクの不審な生成を監視することが、初期兆候の早期発見につながります。標的型攻撃は国境を越えて発生しており、日本企業も例外ではありません。

参考文献・記事一覧

投稿者プロフィール

CyberCrew
CyberCrew
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。


Page Top

Copyright © CyberCrew inc. All rights reserved.