データ提供 PR TIMES
本記事の内容に関するお問い合わせ、または掲載についてのお問い合わせは株式会社 PR TIMES (release_fujitv@prtimes.co.jp)までご連絡ください。また、製品・サービスなどに関するお問い合わせに関しましては、それぞれの発表企業・団体にご連絡ください。

プレスリリース配信元:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

正規のサービスやクラウド通信に紛れて長期潜伏する新たな攻撃手法で、政府機関を標的として東南アジアおよびヨーロッパの一部で活動

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、中国に関連するサイバー諜報活動「Silver Dragon」の詳細を明らかにしました。APT41との関連性が疑われるこの活動は、正規のWindowsサービスを乗っ取ることで目立たない形で活動し、「GearDoor」と呼ばれるカスタムバックドアを使用して、Google Driveをコマンド&コントロール(C2)通信のチャネルとして利用します。2024年半ばから活動しているこの作戦は、東南アジア地域およびヨーロッパの一部の政府機関や公共機関を標的としており、破壊活動よりもステルス性、持続性、長期的な情報収集を優先していることが特徴です。

画像:標的組織の地理的分布

新たに確認された特徴
- 東南アジアを中心に標的とし、ヨーロッパでも活動を確認:標的の大半は東南アジアに集中しているものの、ヨーロッパでも被害者が確認されています。また、ウズベキスタンの政府機関を標的としたフィッシングキャンペーンも確認されており、戦略的な国家情報の収集に重点が置かれていることを示しています。
- 2つの手法による初期アクセス:Silver Dragonは、インターネットに公開されたサーバーの悪用とメールベースのフィッシング攻撃という2つの手法を用いて侵入を行っています。これにより、公開インフラを持つ組織やメールへの依存度が高い組織の双方に対して攻撃を成功させています。この2つの攻撃ベクトルを組み合わせたアプローチにより、公共機関の攻撃対象領域が大幅に拡大しています。以下の画像はウズベキスタンの政府機関宛ての公式文書を装ったフィッシングメールの一例です。




- 正規のWindowsサービスを悪用したステルス型の永続化:Silver Dragonは、明らかに悪意あるサービスを展開するのではなく、Windows Update(wuausrv)、Bluetooth Update(bthsrv)、.NET ClickOnce(DfSvc)、COM+ System Application、およびTime Zone Synchronization(tzsync)などの正規のWindowsサービスを悪用し、正規サービスの名前で悪意あるコードを読み込みます。これにより、マルウェアは通常のシステム動作に紛れ込み、大規模企業や政府機関の環境において検知を大幅に困難にします。
- 革新的なクラウドベースのC2:このキャンペーンの中核となるのは、Google DriveをファイルベースのC2チャネルとして使用するカスタムバックドア「GearDoor」です。感染したマシンは専用のクラウドフォルダを作成し、一見通常のファイルに見えるファイル(例:.png、.rarに偽装したペイロード)を介して、暗号化された指令と実行結果をやり取りします。Google Driveのトラフィックは一般的に許可され信頼されているため、悪意ある活動は正当なクラウド利用に自然に紛れ込みます。これは、防御側が「無害」とみなしてきたSaaSトラフィックをどのように捉えるべきかについて、再考を迫るものです。
- 高度なポストエクスプロイテーション監視機能:Silver Dragonは、「SilverScreen」と呼ばれるステルス型の画面監視インプラントを展開します。このツールは、画面上に意味のある変化が生じた場合のみスクリーンショットを取得するもので、システムへの影響を最小限に抑えながら長期的なユーザー監視を可能にします。これにより、短期的なアクセスではなく継続的な情報収集を実現します。
- LotL手法による正規ツールの悪用と実績あるフレームワーク:複数の感染チェーンを通じて配備される最終ペイロードはCobalt Strikeビーコンを展開し、多くの場合はDNSトンネリングやHTTPを介して通信します。また、場合によっては内部ネットワーク内でSMBを通じて通信することで、悪意あるトラフィックをさらに隠蔽します。カスタムローダー、正規のOSコンポーネント、そして広く悪用されているレッドチーミングツールを組み合わせる手法は、これが成熟し十分なリソースを備えた諜報活動であることを示しています。

サイバーセキュリティの防御担当者にとって、Silver Dragonは、リスクがもはや明らかに悪意あるインフラストラクチャだけから生じるものではないことを示しています。代わりに、OSの主要サービスや信頼されたクラウドプラットフォームが密かに悪用されることで、潜伏時間が延長され、従来の境界防御を回避することが可能になります。

政府や重要な公共機関にとっては、エンドポイントの可視性、サービス単位の監視、そしてクラウドトラフィックの検査の重要性が高まっていることを意味しています。特に、持続的な地政学的サイバー圧力に直面している地域では、その重要性がさらに増しています。

チェック・ポイントの脅威インテリジェンスグループマネージャー、セルゲイ・シュキエヴィチ(Sergey Shykevich)は次のように述べています。
「Silver Dragonは、現代のサイバー諜報活動の最新動向を示しています。攻撃者は複数の初期アクセス手段を利用し、信頼されたWindowsサービスやGoogle Driveのように広く利用されているプラットフォームの内部に紛れ込みます。今回の調査は、クラウドトラフィックやOSの中核コンポーネントを、もはや本質的に安全なものとして扱うことができなくなっていることを示しています。組織、特に政府機関が自組織を保護するためには、公開されたサーバーへの迅速なパッチ適用、強固なメール防御、サービスレベルの変化や認可されたクラウドアクティビティの継続的な監視を優先する必要があります。サイバーセキュリティ業界にとって、これはサイバー防衛の未来が、防止優先のアプローチと、正規の動作に見える悪用さえも検知できる環境横断的な可視性にかかっていることを示す、明確なシグナルです」

本プレスリリースは、米国時間2026年3月3日に発表されたブログ(英語)をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。

ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションならびにLakeraの製品およびソリューションに関する見通し、Lakeraの機能を活用し統合する当社の能力、エンドツーエンドのAIセキュリティスタックを提供する当社の能力、チェック・ポイントの新たなGlobal Center of Excellence for AI Security設立に関する記述、そして買収の完了に関する記述が含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2025年3月17日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp

企業プレスリリース詳細へ
PR TIMESトップへ

PR TIMES
PR TIMES