中国関連のサイバースパイグループ「VerdantBamboo」が、Linuxシステムを狙う新たなマルウェア「BRICKSTORM」のBSD亜種を展開していることが、Volexity社の最新調査で明らかになりました。この高度な脅威アクターは、EDR(Endpoint Detection and Response)ソフトウェアが動作しにくいネットワークアプライアンスを巧みに悪用し、企業環境への長期的な潜伏と機密情報の窃取を試みています。本稿では、VerdantBambooの具体的な攻撃手法、使用されるマルウェアの種類、そして企業が直面するリスクと取るべき対策について詳しく解説します。
VerdantBambooの活動概要と標的システム
Volexity社が「VerdantBamboo」と追跡する脅威クラスターは、中国関連のサイバースパイグループとされており、Microsoftが「Clay Typhoon」、Googleが「UNC5221」、CrowdStrikeが「Warp Panda」と呼ぶ複数のハッキンググループと活動が重複していると報じられています。このグループは、特にLinuxベースのネットワークアプライアンスを標的とすることで知られています。
Volexity社が2025年9月に行ったインシデント対応調査で、VerdantBambooによる侵入が発覚しました。彼らは匿名の被害組織のEgnyte Storage Syncシステムに侵入し、ローカル権限昇格の脆弱性を悪用して「BRICKSTORM」を展開しました。この脆弱性は、2026年3月にリリースされたStorage Syncバージョン13.13で既に修正されています。しかし、VerdantBambooは最初の対処後も、盗まれた管理者認証情報を使ってファイアウォールに接続し、ウェブSSL VPNアクセスを悪用して他のシステムに侵入、Synology Network Attached Storage(NAS)アプライアンスに追加のマルウェアを展開するなど、執拗な攻撃を繰り返しています。
さらに詳細な調査により、この脅威アクターが被害組織のマネージドサービスプロバイダー(MSP)をも侵害していたことが判明しました。特に、MSPのpfSenseファイアウォールがBRICKSTORMのBSD亜種に感染していたとされています。これは、サプライチェーンを介した攻撃の深刻な実態を示しており、単一の組織だけでなく、そのパートナー企業全体に及ぶリスクを浮き彫りにしています。
新マルウェア「BRICKSTORM」のBSD亜種とその機能
BRICKSTORMは、VerdantBambooがLinuxシステムを標的とするために利用する主要なバックドア型マルウェアです。今回確認されたのは、BSD系OS向けに特化した亜種であり、ネットワークアプライアンスがしばしばBSDベースのOSを採用していることを考えると、その標的設定の専門性が伺えます。
このマルウェアのBSD亜種は、ネイティブAOT(Ahead-of-Time)コンパイルを用いてコンパイルされた新しいバージョンであり、その機能は多岐にわたります。主な機能としては、インタラクティブシェル機能が挙げられます。これは攻撃者が感染システム上で直接コマンドを実行し、まるで正規のユーザーであるかのように操作することを可能にします。これにより、システムの設定変更、ファイルの操作、さらには他のマルウェアの展開といった、広範な悪意ある活動が実行され得ます。
また、リモートコマンド実行機能も備えており、攻撃者は遠隔地から任意のコマンドを被害システム上で実行できます。これは、偵察活動、データ窃取、さらにはシステムの破壊といった、さまざまな攻撃フェーズで利用される可能性があります。ファイル操作機能は、機密ファイルのアップロード・ダウンロード、削除、改ざんを可能にし、情報窃取や証拠隠滅に寄与します。
特筆すべきは、コマンド&コントロール(C2)サーバー切り替え機能です。これは、攻撃者が複数のC2サーバーを事前に設定しておくことで、特定のC2サーバーが検出・ブロックされた場合でも、別のサーバーに切り替えて通信を継続できるようにするものです。これにより、マルウェアの検出と駆除を困難にし、攻撃の永続性を高める効果があります。BRICKSTORMのこのような高度な機能は、VerdantBambooが長期的な潜伏と巧妙な情報窃取を目的としていることを示唆しています。
「PLENET」と「AGENTPSD」:BRICKSTORMを補完するマルウェア
VerdantBambooはBRICKSTORMの他にも、攻撃の目的や標的システムに応じて複数のマルウェアファミリーを使い分けています。今回、Synology NASアプライアンスへのSSH経由で展開されたマルウェアとして、「PLENET(別名GRIMBOLT)」と「AGENTPSD」の2種類が確認されています。
PLENET(GRIMBOLT)
PLENETは、.NET Coreで開発されたクロスプラットフォーム対応のバックドアです。クロスプラットフォームであるため、Windows、Linux、macOSなど、多様なOS環境で動作する能力を持っています。これにより、攻撃者は標的とするシステムの種類を問わず、同じマルウェアを利用して侵入後の活動を展開できるため、攻撃の効率性が高まります。
PLENETの実際の利用は、2024年半ばからDell RecoverPoint for Virtual Machinesの脆弱性(CVE-2026-22769、CVSSスコア10.0)がゼロデイとして悪用された攻撃に関連して、Googleによって2026年2月に報告されています。この攻撃は「UNC6201」と呼ばれる中国関連の脅威クラスターによって行われたとされており、VerdantBambooとの関連性や、中国関連グループ間でのマルウェア共有の可能性を示唆しています。PLENETもBRICKSTORMと同様に、バックドアとしての広範な機能を有し、攻撃者がシステムを遠隔操作するための主要なツールとして機能します。
AGENTPSD
AGENTPSDは、Pythonベースのリバースシェルです。リバースシェルとは、感染したシステムから攻撃者のサーバー(C2サーバー)に対して接続を確立するタイプのシェルであり、ファイアウォールによるインバウンド接続のブロックを回避しやすいという特徴があります。このマルウェアは、主要なインプラント(BRICKSTORMやPLENET)が何らかの理由で機能しなくなった際の「代替(フォールバック)」として機能する可能性が高いと分析されています。
Pythonは多くのLinuxシステムに標準でインストールされているため、AGENTPSDは追加のツールをインストールすることなく実行できるという利点があります。これにより、攻撃の痕跡を最小限に抑えつつ、持続的なアクセスを確保することが可能になります。AGENTPSDは、より高度なマルウェアが検出・駆除された後も、攻撃者がシステムへのアクセスを維持するための「最後の砦」として重要な役割を果たすと考えられます。
巧妙な攻撃手法と回避策
VerdantBambooは、その攻撃において極めて巧妙な手法と回避策を駆使しています。彼らの攻撃は、単なる脆弱性の悪用にとどまらず、正規のネットワーク活動に紛れ込むことで、検出を困難にすることを目的としています。
正規トラフィックへの偽装と条件付きアクセスポリシーの回避
Volexity社の報告によると、VerdantBambooはEgnyte Storage Syncシステムに展開したマルウェアのプロキシ機能と、盗まれた認証情報を利用して、被害組織のMicrosoft 365(M365)環境にアクセスしていました。この際、被害組織のウェブSSL VPN経由でIPアドレスを割り当て、正規のネットワークトラフィックに紛れ込むようにアクセスしていたとされています。これにより、通常のセキュリティ監視システムや条件付きアクセスポリシーによる検出を回避し、長期間にわたってM365環境への不正アクセスを継続していた可能性が指摘されています。
初期の侵害は少なくとも18ヶ月前に行われたと推定されており、この長期にわたる潜伏期間は、攻撃者が十分な偵察と情報収集を行う時間があったことを示唆しています。正規のVPN接続を悪用することで、外部からの不審な接続として認識されにくく、内部からのアクセスとして扱われるため、セキュリティ対策の盲点となりがちです。
Living off the Land(LotL)技術の活用
VerdantBambooは、「Living off the Land(LotL)」と呼ばれる技術を多用しています。これは、標的システムに元々存在する正規のツールや機能(例:PowerShell、WMI、SSHなど)を悪用して攻撃活動を行う手法です。LotL技術の利点は、新たなマルウェアを導入する必要がないため、検出が非常に難しい点にあります。正規のプロセスとして実行されるため、アンチウイルスソフトウェアやEDRシステムが異常を検知しにくいのです。
彼らは、EDRソフトウェアが通常動作しない、あるいは動作できないネットワークアプライアンスにマルウェアを展開することで、このLotL技術をさらに強化しています。これらのアプライアンスは、セキュリティ監視の対象外となることが多く、攻撃者にとっては格好の隠れ蓑となります。
運用セキュリティ規律の高さ
Volexity社は、VerdantBambooが極めて高い運用セキュリティ規律を持っていると評価しています。彼らは、被害者ごとに限られた数のドメインとIPアドレスを利用し、デバイスごとにカスタマイズされたインプラント名と永続化メカニズムを設定しています。これにより、攻撃の痕跡を分散させ、特定のパターンに基づく検出を困難にしています。このような細心の注意を払った運用は、彼らが長期的な目標を持ち、検出を回避しながら持続的に活動することを重視している証拠と言えるでしょう。
サプライチェーン攻撃の深刻化と対策の重要性
VerdantBambooの活動は、現代のサイバーセキュリティにおいて最も深刻な脅威の一つであるサプライチェーン攻撃の危険性を改めて浮き彫りにしています。被害組織が直接狙われるだけでなく、その信頼するマネージドサービスプロバイダー(MSP)が侵害されることで、間接的に複数の顧客組織に被害が及ぶ可能性があります。
MSPは、多くの企業にとってITインフラやセキュリティ管理を委託する重要なパートナーです。MSPが侵害されると、その顧客企業は、自社のセキュリティ対策がどれほど強固であっても、サプライヤーの脆弱性を介して攻撃を受けるリスクに晒されます。今回の事例では、MSPのpfSenseファイアウォールがBRICKSTORMのBSD亜種に感染したことで、その顧客である被害組織への侵入経路が確立されたと見られています。
このようなサプライチェーン攻撃に対抗するためには、自社だけでなく、サプライヤーやパートナー企業を含めたエコシステム全体のセキュリティを強化することが不可欠です。契約時にセキュリティ要件を明確にし、定期的なセキュリティ監査や脆弱性評価を実施するだけでなく、インシデント発生時の情報共有プロトコルを確立するなど、多層的なアプローチが求められます。
また、EDRが動作しにくいネットワークアプライアンスへの対策も急務です。これらのデバイスは、しばしばパッチ適用が遅れたり、監視が手薄になったりする傾向があります。しかし、攻撃者はそのような盲点を狙って侵入するため、これらのアプライアンスに対しても、定期的な脆弱性スキャン、ログの集中管理と監視、異常検知システムの導入、そして厳格なアクセス制御と認証強化が不可欠です。特に、多要素認証(MFA)の導入は、盗まれた認証情報による不正アクセスを防ぐ上で極めて有効な手段となります。
よくある質問
BRICKSTORMはどのようなシステムを狙うのか?
BRICKSTORMは主にLinuxベースのシステム、特にEDR(Endpoint Detection and Response)ソフトウェアが動作しにくいネットワークアプライアンス(例:Egnyte Storage Sync、pfSenseファイアウォール、Synology NASなど)を標的としています。これは、これらのシステムがセキュリティ監視の盲点となりやすく、攻撃者が長期間潜伏しやすい環境を提供するためです。
VerdantBambooの攻撃から身を守るには?
VerdantBambooのような高度な脅威アクターから身を守るためには、多層的なセキュリティ対策が必要です。具体的には、すべてのシステムとソフトウェアの脆弱性管理を徹底し、最新のセキュリティパッチを適用すること。多要素認証(MFA)を広く導入し、認証情報の窃取による不正アクセスを防ぐこと。ネットワークアプライアンスを含むすべてのデバイスでログを集中管理し、異常なアクティビティを監視すること。そして、信頼できるマネージドサービスプロバイダー(MSP)を選定し、そのセキュリティ体制も定期的に評価することが重要です。
MSPが侵害された場合、どのようなリスクがあるのか?
MSPが侵害されると、その顧客企業はサプライチェーン攻撃のリスクに直面します。MSPは多くの企業のITインフラやセキュリティを管理しているため、MSPのシステムが侵害されると、攻撃者はそのアクセス権限を悪用して複数の顧客企業に侵入する可能性があります。これにより、顧客企業の機密情報が窃取されたり、システムが破壊されたりする危険性があります。MSPのセキュリティ体制を定期的に確認し、インシデント発生時の対応計画を共有しておくことが不可欠です。
まとめ
中国関連のサイバースパイグループVerdantBambooによるLinuxアプライアンスを狙ったBRICKSTORMの展開は、現代のサイバー脅威の複雑さと巧妙さを改めて示しています。彼らは、EDRが機能しにくいシステムを標的とし、Living off the Land(LotL)技術やサプライチェーン攻撃を駆使することで、検出を回避し、長期的な潜伏と情報窃取を可能にしています。
企業や組織は、自社のIT環境だけでなく、サプライヤーやパートナー企業を含めたサプライチェーン全体のセキュリティ体制を再評価する必要があります。特に、ネットワークアプライアンスのような「見えにくい」領域のセキュリティ強化、多要素認証の徹底、そして異常検知のためのログ監視の強化が喫緊の課題です。VerdantBambooの事例は、高度な脅威アクターが常に新たな攻撃経路と回避策を模索していることを示しており、セキュリティ対策は継続的な改善と適応が求められます。
