中国系のハッカー集団が、Google Workspaceの正規機能を悪用して、北米の医療、学術、軍事研究ネットワークから機密性の高いメールを窃取していたことが、Googleの脅威インテリジェンスグループ(GTIG)の報告により明らかになりました。このサイバー攻撃は、既存のクラウドサービス機能を巧妙に悪用する新たな手口を示しており、従来のセキュリティ対策では見過ごされがちな脅威として、各組織に注意を促しています。
Google Workspaceを悪用した巧妙なメール窃取の手口
REDCapサーバーへの侵入経路
攻撃集団「UNC6508」は、病院や大学が研究データの収集・管理に利用するウェブプラットフォーム「REDCap(Research Electronic Data Capture)」の外部公開サーバーを侵害しました。初期の侵入経路については特定されていませんが、古い脆弱なバージョンを標的としていた可能性が指摘されています。
侵入後、UNC6508は「INFINITERED」と呼ばれるカスタムマルウェアを展開しました。このマルウェアは、REDCapのシステムファイルをトロイの木馬化し、以下の3つの機能を持っていました。
- REDCapのアップグレードプロセスを乗っ取り、新しいバージョンが導入されてもマルウェアコードが再注入されるようにする。
- ログインページからユーザー名とパスワードを窃取し、暗号化してローカルデータベースに保存する。
- HTTPクッキーを通じてコマンドを受け取り、あらゆるページロード時に実行されるバックドアとして機能する。
この活動は2023年9月から始まり、2025年11月まで継続していたと報じられています。サーバーへの侵入後、UNC6508は内部偵察と認証情報収集を行い、最終的にドメイン管理者アカウントへのアクセスを確立しました。
既存のGoogle Workspace機能の悪用
メール窃取の段階では、Google Workspaceの「コンテンツコンプライアンスルール」という正規の管理者機能が悪用されました。この機能は、特定のキーワードを含むメールをスキャンし、条件に合致するメッセージをコピーまたは転送するために使用されます。
攻撃者は管理者権限を利用し、約150のキーワード、検索用語、メールアドレスを監視するルールを作成しました。これらのキーワードには、地政学的政策、軍事戦略・装備、AIや無人機を含む先進技術、攻撃的サイバープログラム、医療研究といったUNC6508の収集優先事項が反映されていました。特に、2025年に中国広東省で発生したアウトブレイクの原因となった蚊媒介性ウイルス「チクングニア」という具体的な用語も含まれていた点が特筆されます。
このルールにより、合致するメールは、攻撃者が管理するGmailアドレスにBCC(ブラインドカーボンコピー)で密かに転送されていました。この手口の巧妙さは、メールサーバーにマルウェアを導入したり、異常なネットワークトラフィックを発生させたりすることなく、組織の機密情報を外部に持ち出すことを可能にした点にあります。MITRE ATT&CKフレームワークではメール転送ルールの悪用は既知のテクニックですが、ドメインコンテンツコンプライアンスルールの悪用は、中国系アクターによるものとしてはGTIGが初めて確認したと報告しています。
ユーザーへの影響と対策
今回の攻撃は、従来の境界型防御やマルウェア検出だけでは見つけにくい、新たな脅威の形態を示しています。既存の正規機能が悪用されるため、管理者設定の厳格な監査と監視が不可欠です。
- REDCapサーバーのセキュリティ強化: 外部公開サーバーのパッチ適用を徹底し、古いバージョンのREDCapは完全に削除することが推奨されます。また、Googleが公開したINFINITEREDの痕跡(IoC)を確認し、システム内に存在しないか調査する必要があります。
- 管理者アカウントの保護: メール窃取の最終段階が管理者アクセスに依存していたことから、管理者アカウントに対するフィッシング耐性のある多要素認証(MFA)の導入が極めて重要です。
- クラウドメール設定の監査: Google Workspace(またはMicrosoft 365などの同等のクラウドメールサービス)のコンテンツコンプライアンスルールやメール転送ルールを定期的に見直し、外部アドレスへの不正な転送がないか、監査ログを用いて確認する必要があります。特に、ルールの変更履歴を追跡することが重要です。
まとめ
今回の中国系ハッカーによるGoogle Workspace悪用事例は、サイバー攻撃がますます巧妙化し、既存のクラウドサービス機能を悪用する方向へと進化している現状を浮き彫りにしています。組織は、単なるマルウェア対策だけでなく、正規のシステム設定や管理者権限の管理を徹底し、多層的な防御策を講じることが、機密情報保護のために不可欠です。
