APT活動の動向:APAC地域における脅威の増大
地政学的な緊張が高まる中、アジア太平洋地域(APAC)全体でAPT(Advanced Persistent Threat)活動が急速に増加しています。特に台湾は、追跡された攻撃が173件と、他の地域を大きく上回る最も標的とされた環境となっており、スパイ活動と戦略的アクセスの中心地としての役割が浮き彫りになっています。研究者たちは、台湾が世界の技術サプライチェーンにおける重要性と地政学的な位置付けから、諜報活動や事前配置を求める中国関連の脅威アクターにとって特に魅力的であると指摘しています。
台湾はまた、「試金石」としても機能しており、新しいツールや戦術が早期に現れ、その後他の地域にも拡散する傾向があります。台湾のインシデントパターンを監視することで、中国関連の侵入手法がどのように進化し、拡大するかの早期警告を得ることができます。TeamT5の報告によると、2025年には2024年から増加し、67カ国でAPT活動が確認されました。2025年の主要な傾向は、保護の強化されたエンドポイントから、可視性の低い周辺層へのシフトです。
「Living-off-the-Land」戦術とサプライチェーン攻撃の深化
TeamT5は昨年27件の重大な脆弱性を追跡し、その大半がファイアウォール、ルーター、VPNアプライアンスなどのエッジデバイスに影響を与えました。攻撃者たちは、脆弱性悪用と特定のデバイスファミリー向けに構築されたカスタムバックドアを組み合わせる傾向を強めています。これらのバックドアは、パッチ適用後や再起動後も存続するように設計されており、周辺での一度の侵入が、完全に排除するのがより困難な持続的なアクセスへと変わってしまいます。
脅威アクターはまた、IoTデバイスや小型ネットワークアプライアンスを静かなインフラとして悪用し、通常のトラフィックに紛れ込んでいます。調査者たちは、侵害されたIoTデバイスがオペレーショナルリレーボックス(ORB)ネットワークに連鎖され、攻撃者のトラフィックをプロキシして真の発生源を隠蔽していることを確認しました。また、アドバーサリーはNASシステムをリバースSSHトンネルのリレーとして使用し、ログ上は無害に見える仲介者を通じてデータ窃盗を支援するケースもありました。例えば、小規模オフィスの侵害されたNASは、リモートサーバーへのデータ流出トラフィックを転送し、チームが宛先とトンネルパターンを検査しない限り、通常の管理トンネルのように見えることがあります。
サプライチェーンの侵害はさらに加速し、TeamT5が「信頼の失敗モデル」と表現するように、継承された信頼が攻撃経路となる状況を強化しています。報告によると、中国関連のアクターは上流のITサービスプロバイダーを侵害し、その後、台湾の政府、軍、重要インフラネットワークに侵入しました。通信事業者を標的とした中国関連クラスターに関する業界報告では、DNS操作やISPレベルのハイジャックなど、長期的な傍受のために国内の通信環境内のアクセスが利用されたことが指摘されています。
ステルス性の高いマルウェアの展開と多層化する攻撃手法
サプライヤーへの信頼は、アドバーサリーが日常的なビジネス関係を武器にする際に、負債となる可能性があります。マルウェアの配信方法も変化しています。2025年に追跡された300以上の悪意あるサンプル全体で、研究者たちは、カスタマイズされた「使い捨て」マルウェアの利用が増加していることを確認しました。これらは、構築が迅速で、単一の侵入チェーンに合わせて調整され、署名ベースの検出を回避するのに優れています。多くの攻撃作戦では、複数のマルウェアファミリーと正規のツールを混ぜ合わせたマルチツールの侵入スタックが使用されており、あるコンポーネントがブロックされても、他のコンポーネントがアクセスを維持したり、コマンド&コントロールを再確立したりします。攻撃の痕跡がツール、ホスト、ネットワークパスに分散されるため、駆除はより時間がかかります。
国家主導型エコシステムの台頭
これらの手法の背後には、アナリストたちは、中国関連の「国家総動員型(whole-of-nation)」エコシステムへの広範なシフトを見ています。これは、国家の優先事項と請負業者スタイルの実行を融合させたものです。2024年のI-Soonリークやその後の執行活動を含む近年のリークと公表された行動は、スキャン、エクスプロイト開発、ペイロードエンジニアリング、プロキシ/C2インフラに特化した異なるプロバイダーが存在する産業モデルを示唆しています。
単一のAPTグループが組織全体のキルチェーンを実行している場合、このメッセージは、指標のみの防御では使い捨てツールや迅速なインフラのローテーションに対して苦戦するということです。
推奨される防御策
- エッジデバイスの強化と監視: ファイアウォール、ルーター、VPNアプライアンスなどのエッジデバイスを強化し、継続的に監視する必要があります。
- サプライヤーのセキュリティ確認: サプライヤーのセキュリティ対策が十分に実施されているかを確認し、信頼の連鎖における弱点を排除します。
- 異常行動のハンティング: 通常とは異なるトンネルの作成、デバイス間のプロキシ、異常な管理プレーンアクセスなど、持続的な異常行動を積極的に探し出します。
- 協力と地域的な脅威インテリジェンスの共有: 防御側は、攻撃者エコシステムにおける役割をマッピングし、チェーンの早期段階で攻撃を阻止するために、協力し、地域的な脅威インテリジェンスを共有することが重要です。