●この記事のポイント
中国系サイバー諜報グループ「UNC2814」がGoogleスプレッドシートをC2通信に悪用するバックドア「GRIDTIDE」で通信インフラを標的に長期潜伏攻撃を展開。従来のファイアウォール・ホワイトリスト防御が無力化される中、東南アジア拠点を持つ日本企業にもサプライチェーン経由の被害リスクが迫る。ゼロトラスト移行とEDR/XDR導入が急務。
世界のサイバーセキュリティ研究者たちが相次いで警鐘を鳴らしている。東南アジア、中東、欧州、アフリカ——地域を問わず、特定の国家利益に基づくとみられるサイバー諜報活動が急増しているのだ。しかも、その攻撃の標的は変化している。かつての国家安全保障情報や軍事機密に加え、今や通信インフラそのものが狙われている。
通信事業者が標的になるということは、単に「情報が漏れる」だけでは済まない。通話記録、位置情報、政府機関や企業の業務通信——これらすべてが攻撃者の手中に落ちる可能性を意味する。そしてその情報は、スパイ活動だけでなく、外交・経済交渉における「見えない武器」として利用されうる。
この脅威の核心にいるのが、サイバーセキュリティ企業マンディアントが「UNC2814」と命名したグループである。
●目次
- 脅威の正体:高度な技術と「長期潜伏」の戦略
- なぜ従来の対策は無力なのか?「正規サービス」を悪用する巧妙な手口
- 対岸の火事ではない:日本企業が抱える固有のリスク
- 経営層が主導すべき「次世代の防御戦略」
- 見出し5
脅威の正体:高度な技術と「長期潜伏」の戦略
UNC2814は、中国の国家利益に資する活動を行っていると強く示唆されている高度持続的脅威(APT)グループだ。その最大の特徴は技術力の高さではなく、「いかに発見されないか」に徹した行動原理にある。
侵入後、即座に情報を盗み出すのではなく、数カ月——場合によっては1年以上——にわたってターゲット組織の内部に潜伏し続ける。その間、内部ネットワークの構造を精査し、重要な情報の所在を把握し、最も効率的な経路で継続的にデータを抜き出す。
このグループが使用するバックドアが「GRIDTIDE」だ。一度システムへの感染が成立すると、攻撃者は永続的なアクセス権を確立する。つまり、パスワードを変更しても、セキュリティパッチを当てても、GRIDTIDEの除去に成功しない限り、侵入口はずっと開いたままになる。まるで蛇口をひねり続けるように、組織内部の情報が外部へと流れ出し続けるのだ。
サイバーセキュリティコンサルタントの新實傑氏はこう指摘する。
「GRIDTIDEの危険性は、インストール後の”隠密性”にあります。ログに残らない、アラートを鳴らさない——既存の検知ツールのほとんどが前提としている”異常なふるまい”を巧みに回避するよう設計されています」
なぜ従来の対策は無力なのか?「正規サービス」を悪用する巧妙な手口
UNC2814の手口の中でも特に注目すべきは、攻撃指令(C2:コマンド&コントロール)の伝達方法だ。彼らはGoogleスプレッドシートを、バックドアへの命令を送り込む「隠れた通信チャネル」として活用する。
Googleスプレッドシートは誰もが日常的に使う正規のクラウドサービスだ。そこへの通信は、企業のIT部門が「正常かつ安全」としてホワイトリストに登録している。ファイアウォールもプロキシも、Googleへのアクセスを遮断するという発想自体を持っていない。これこそが攻撃者の狙いである。
従来型の境界防御は「外と内を隔てるファイアウォール」を核心に置く思想だ。外部からの不審な通信をブロックし、内部ネットワークを守る——これが長年の「常識」だった。しかしUNC2814の手口は、この常識を根底から崩す。攻撃の命令が「正規の通信」に乗ってくるならば、ファイアウォールは機能しない。むしろ、信頼できるサービスだからこそアクセスを許可する「ホワイトリスト方式」が、最大の脆弱性に変わるのだ。
「問題の本質は、攻撃者が我々のインフラを信頼しているという点です。Googleのインフラを悪用されると、我々はGoogleを疑わなければならない。しかし業務的にそれは不可能に近い。この非対称性こそが、現代サイバー攻撃の最も巧妙な点です」(新實氏)
対岸の火事ではない:日本企業が抱える固有のリスク
「これは海外の通信事業者の問題だ」と思った方が多いかもしれない。だが、日本企業——特に東南アジアや中東に海外拠点を持つ製造業、商社、金融機関——にとって、UNC2814の活動はすでに「射程内」の脅威だ。
理由は三つある。
第一に、サプライチェーンリスク。現地通信事業者が侵害されると、その通信インフラを利用している日本企業の現地法人も攻撃者の視野に入る。本社との通信が傍受され、知財・営業秘密・交渉情報が流出するシナリオは、決して誇張ではない。
第二に、ターゲットの拡大。サイバー諜報グループは通信事業者を「入口」として利用し、そこから接続される企業ネットワークを横断的に侵害する「ラテラルムーブメント(横移動)」戦術を得意とする。現地拠点が足がかりになれば、最終的には本社の基幹システムに到達しうる。
第三に、ガバナンス責任の問題。金融商品取引法の改正やサイバーセキュリティ基本法の整備が進む中、今や重大なサイバーインシデントは経営判断の問題として取締役会の責任が問われる時代になっている。「高度な攻撃だったので防げなかった」は、もはや免責事由にならない。
「善管注意義務の観点から見ると、経営者には既知の脅威に対する合理的な対策を講じる義務があります。UNC2814のような手口はすでに公知の情報です。対策を講じていなかった場合、株主代表訴訟や規制当局の調査において、取締役の責任が問われる可能性は十分にあります」(同)
経営層が主導すべき「次世代の防御戦略」
では、経営者はいま何をすべきか。技術論を超えた三つの戦略的方向性を示す。
第一に、ゼロトラストへの完全移行。「社内ネットワーク内だから安全」「Googleのサービスだから安全」という前提を捨てる。ゼロトラストとは、すべてのアクセスを「信頼しない」ことを前提に、その都度、正当性を検証するアーキテクチャだ。導入コストは高いが、UNC2814型の攻撃に対しては、これが唯一の根本的な解答に近い。
第二に、振る舞い検知(EDR/XDR)の強化。通信経路ではなく、エンドポイント(端末・サーバー)上での「ふるまい」を監視する技術だ。GRIDTIDEがGoogleスプレッドシートと通信するとき、その命令を受けた端末が「通常ではない処理」をするはずだ。そのパターンを機械学習で検知する仕組みを構築することで、C2通信を通信経路ではなく端末側で検知できる。
第三に、脅威インテリジェンスの経営への統合。UNC2814のような国家背景グループは、地政学的な状況と連動して標的を変化させる。東南アジアの地政学的緊張が高まれば、その地域の日本企業拠点への攻撃リスクも上昇する。世界情勢と攻撃手法を紐付け、リスクを先回りして特定する「脅威インテリジェンス」機能を、CISOだけでなく経営意思決定に組み込むことが不可欠だ。
セキュリティは「コスト」ではなく「持続可能性への投資」
デジタルトランスフォーメーションが進むほど、攻撃者が利用できる「隠れ場所」は増え続ける。クラウドサービス、SaaS、IoT——すべてが潜在的なC2チャネルになりうる。技術の進化と攻撃手法の進化は、常に表裏一体だ。
経営者がいま最も問われているのは、「技術を理解すること」ではない。技術的な構造変化を踏まえた上で、迅速かつ適切な投資判断を下す能力だ。サイバーセキュリティをIT部門のコストセンターとして扱い続ける限り、UNC2814のような高度な脅威アクターとの戦いは、最初から負けが確定している。
Googleスプレッドシートが「悪意の隠れ蓑」になる時代に、最強の防御壁は技術ではなく、トップの認識と意思決定の速さの中にある。
(文=BUSINESS JOURNAL編集部、協力=新實傑/サイバーセキュリティコンサルタント)