中国系ハッカーがGoogle Workspaceのルールを悪用、北米の研究・防衛メールを1年以上にわたり横取り

中国系のサイバー攻撃グループが、北米の医療、学術、軍事研究ネットワークに1年以上にわたり潜伏し、機密データを窃取していたことが明らかになった。攻撃グループはREDCapと呼ばれる研究データ管理プラットフォームにバックドアを仕込み、認証情報を盗み出した上で、被害者のGoogle Workspaceのルールを書き換えて、特定のキーワードを含むメールを攻撃者側のメールボックスに自動転送させていた。この手口は、クラウドメールサービスの既存機能を悪用するという点で、従来のサイバー攻撃とは一線を画す手法だ。攻撃は少なくとも2023年9月から2025年11月まで継続しており、被害は米国とカナダの複数の組織に及んでいる。

侵入経路：REDCapサーバーのバックドア

攻撃の入り口となったのは、REDCap（Research Electronic Data Capture）という研究データ管理プラットフォームだ。REDCapは、病院や大学が臨床研究や学術調査のデータベースを構築・管理するために広く利用されているWebベースのプラットフォームだ。攻撃グループUNC6508は、インターネットに公開されているREDCapサーバーにバックドアを仕込むことで、まずは被害者ネットワークへの侵入に成功した。Googleの脅威インテリジェンスグループ（GTIG）によると、UNC6508はREDCapのシステムファイルをトロイの木馬化するカスタムマルウェア「INFINITERED」を展開し、その後の攻撃活動を支援していた。

初期侵入の具体的な経路については、Googleは特定の脆弱性（CVE）や影響を受けるバージョンを明らかにしていない。ただし、UNC6508が古いバージョンのREDCapを標的にしていたことが確認されている。このマルウェアは、REDCapのシステムファイルを改ざんすることで、攻撃者がサーバー内で自由に活動できるようにする機能を持っていた。侵入から約3ヶ月後には、INFINITEREDが展開され、内部偵察や認証情報の収集が行われていた。攻撃グループはデータベースやサービスアカウントの認証情報を盗み出し、これらを利用して内部ネットワークへの移動を図っていた。

内部ネットワークへの浸透：認証情報の横取りと権限昇格

UNC6508は、REDCapサーバーへの侵入後、内部ネットワークの偵察と認証情報の収集を開始した。具体的には、データベースやサービスアカウントの認証情報を盗み出し、これらの情報を悪用して内部ネットワークへと移動していた。Googleによると、攻撃グループは最終的にドメイン管理者アカウントまで到達していたことが確認されている。ドメイン管理者アカウントを奪取することで、攻撃グループはネットワーク全体に対する完全な制御権を獲得していた可能性が高い。

この段階で、攻撃グループはさらなる攻撃活動を展開するための基盤を確立していた。ドメイン管理者アカウントを悪用することで、攻撃グループはネットワーク内の他のシステムやデータベースへのアクセスを容易にし、機密情報の窃取を加速させていたと考えられる。このような攻撃手法は、従来のマルウェアやランサムウェアによる攻撃とは異なり、攻撃者が正規の権限を悪用することで検知を回避しやすいという特徴がある。

データ窃取の仕組み：Google Workspaceのコンプライアンスルールを悪用

UNC6508が用いたデータ窃取の手口は、非常に巧妙なものだった。攻撃グループは、被害者のGoogle Workspaceに設定されているコンプライアンスルールを悪用し、特定のキーワードを含むメールを自動的に攻撃者側のメールボックスに転送させていた。Google Workspaceのコンプライアンスルールは、本来であればスパムや不正なコンテンツのフィルタリング、あるいは法令遵守のためのメール監視などに利用される機能だが、UNC6508はこれを攻撃目的に転用していた。

攻撃グループは、コンプライアンスルールに「Patroit」というスペルミスを含むルール名を設定し、約150のキーワードや検索用語、メールアドレスを監視対象として登録していた。これにより、被害者のメールボックスに特定のキーワードが含まれるメールが届くと、そのメールは攻撃者側のGmailアドレスに自動的にBCC（ブラインドカーボンコピー）されていた。Googleはこの攻撃を検知し、攻撃者側のメールボックスを無効化することで、さらなる被害の拡大を防いでいる。このような手法は、攻撃者が被害者の正規の機能を悪用することで、セキュリティツールによる検知を回避しやすいという特徴がある。

被害の規模と対象組織：医療・学術・軍事研究機関に及ぶ

UNC6508の攻撃は、米国とカナダを中心とした北米地域の複数の組織に及んでいる。具体的には、臨床医療機関、学術研究機関、軍事医療機関、アドボカシー団体、健康規制当局などが被害に遭っている。これらの組織は、いずれも機密性の高い研究データや防衛関連の情報を取り扱っており、攻撃グループにとっては格好の標的となっていたと考えられる。

Googleによると、攻撃は少なくとも2023年9月から2025年11月までの期間にわたって継続していた。この間、攻撃グループは被害者ネットワーク内で活動を続け、機密情報の窃取を図っていた。このような長期にわたる潜伏活動は、攻撃グループが高度な技術を有していることを示唆しており、今後の類似の攻撃手法の拡散が懸念される。

類似機能を持つ他のクラウドメールサービスへの影響

UNC6508が悪用したGoogle Workspaceのコンプライアンスルール機能は、他のクラウドメールサービスにも類似の機能が存在する。例えば、Microsoft 365の「メールフロー ルール」や「コンプライアンス ポリシー」などが挙げられる。これらの機能は、本来であればスパム対策や法令遵守のために利用されるものだが、攻撃者によって悪用される可能性がある。そのため、他のクラウドメールサービスを利用している組織においても、同様の攻撃手法に対する警戒が必要だ。

特に、医療機関や学術研究機関、防衛関連の組織は、機密性の高い情報を取り扱っているため、これらの機能の設定を見直すことが重要だ。具体的には、不要なルールの削除や、キーワード監視の厳格化、管理者権限の適切な管理などが挙げられる。また、クラウドサービスプロバイダー側でも、このような悪用を防ぐためのセキュリティ対策の強化が求められる。

対策と今後の展望：組織に求められるセキュリティ強化策

UNC6508による攻撃は、従来のサイバー攻撃とは異なる新たな脅威を示唆している。攻撃グループは、正規の機能を悪用することで検知を回避し、長期にわたって潜伏活動を行っていた。そのため、組織は単にマルウェア対策やファイアウォールの導入だけでなく、内部ネットワークの監視や認証情報の管理、クラウドサービスの設定見直しなど、包括的なセキュリティ対策を講じる必要がある。

まず、REDCapやその他の研究データ管理プラットフォームを利用している組織は、サーバーのセキュリティを強化することが重要だ。具体的には、定期的な脆弱性診断の実施、最新のセキュリティパッチの適用、不要なサービスやポートの閉鎖、強固な認証方式の導入などが挙げられる。また、サーバーへのアクセスログを監視し、不審な活動を早期に検知する仕組みを整備することも必要だ。

次に、Google WorkspaceやMicrosoft 365などのクラウドメールサービスを利用している組織は、コンプライアンスルールやメールフロー ルールの設定を見直すことが重要だ。特に、監視対象のキーワードや転送先メールアドレスの設定を厳格に管理し、不要なルールは削除することが求められる。また、管理者権限の適切な管理や、多要素認証の導入なども、セキュリティ強化の一環として実施すべきだ。

さらに、組織内の従業員に対するセキュリティ意識向上も欠かせない。UNC6508の攻撃では、バックドアやトロイの木馬を介した侵入が確認されているため、従業員が不審なメールやリンクを開かないようにすること、定期的なセキュリティトレーニングの実施、フィッシングメールの見分け方の周知などが重要だ。また、万が一攻撃を受けた場合の対応手順を整備し、定期的なシミュレーションを実施することも、被害の拡大を防ぐために有効だ。

クラウドサービスプロバイダーの役割と責任

この攻撃は、クラウドサービスプロバイダーにも大きな責任を問うものとなっている。Google Workspaceのコンプライアンスルール機能が悪用されたことで、被害が拡大したことは明らかだ。そのため、プロバイダー側では、このような機能の悪用を防ぐためのセキュリティ対策の強化が求められる。

例えば、コンプライアンスルールの設定時に、管理者に対して警告メッセージを表示する、異常な転送先メールアドレスを検知した際に自動的にブロックする、ルールの変更履歴を詳細に記録するなどの対策が考えられる。また、プロバイダー側で異常な活動を検知した際には、被害者組織に対して迅速に通知する仕組みを整備することも重要だ。これにより、被害の拡大を防ぐとともに、攻撃の早期発見と対応につなげることができる。

さらに、クラウドサービスプロバイダーは、セキュリティに関するベストプラクティスやガイドラインを提供することで、利用者組織のセキュリティ強化を支援することも求められる。例えば、定期的なセキュリティアップデートの案内、脆弱性情報の共有、セキュリティ設定の推奨値の提供などが挙げられる。これにより、利用者組織が適切なセキュリティ対策を講じることが容易になり、攻撃のリスクを低減することができる。

今後の課題とリスク管理

UNC6508による攻撃は、サイバー攻撃の手法がますます巧妙化していることを示す事例の一つだ。攻撃グループは、正規の機能を悪用することで検知を回避し、長期にわたって潜伏活動を行っていた。このような攻撃手法は、今後も他の攻撃グループによって模倣される可能性が高く、組織は常に新たな脅威に対する備えを怠ることができない。

特に、医療機関や学術研究機関、防衛関連の組織は、機密性の高い情報を取り扱っているため、攻撃の標的となりやすい。そのため、これらの組織は、セキュリティ対策の強化だけでなく、攻撃を受けた際の対応計画の整備や、インシデントレスポンス体制の強化など、包括的なリスク管理を実施することが求められる。

また、政府や業界団体も、このような攻撃に対する対策を支援するための取り組みを強化する必要がある。例えば、セキュリティに関する情報共有の促進、脆弱性情報の迅速な共有、セキュリティ対策の推進などが挙げられる。これにより、組織間の連携を強化し、攻撃の早期発見と対応を迅速化することができる。

まとめ：包括的なセキュリティ対策の重要性

中国系のサイバー攻撃グループUNC6508による攻撃は、従来のサイバー攻撃とは異なる新たな脅威を示す事例となった。攻撃グループは、REDCapサーバーへのバックドアを介してネットワークに侵入し、内部ネットワークの偵察と認証情報の収集を行った上で、Google Workspaceのコンプライアンスルールを悪用して機密メールを横取りしていた。この攻撃は、少なくとも2023年9月から2025年11月までの期間にわたって継続しており、被害は米国とカナダの複数の組織に及んでいる。

このような攻撃に対抗するためには、組織は包括的なセキュリティ対策を講じることが重要だ。具体的には、サーバーのセキュリティ強化、クラウドメールサービスの設定見直し、従業員のセキュリティ意識向上、攻撃を受けた際の対応計画の整備などが挙げられる。また、クラウドサービスプロバイダー側でも、セキュリティ対策の強化や利用者への支援体制の整備が求められる。

今後もサイバー攻撃の手法はますます巧妙化していくと予想されるため、組織は常に新たな脅威に対する備えを怠ることなく、セキュリティ対策の強化に努める必要がある。