Juniper製ルーターに「攻殻機動隊さながら」の高度マルウェア攻撃 その手口は：Mandiantが調査を公表

Mandiantは、Juniper製ルーターを標的にした高度なマルウェア攻撃に関するレポートを公表した。ネットワークセキュリティに重大なリスクをもたらすものと見られ、迅速な対策が求められる。

[渡邉利和，著]

　Google傘下のセキュリティベンダーMandiantは2025年年3月12日（米国時間）、中国政府の支援が疑われる諜報活動グループ「UNC3886」が、Juniper Networks製のルーターで使われているネットワークOS「Junos OS」にバックドア（不正アクセスのための侵入口）を仕掛けていたことを公表した。

Ghost in the Router: China-Nexus Espionage Actor UNC3886 Targets Juniper Routers（出典：Google CloudのWebサイト）《クリックで拡大》

まるで「攻殻機動隊」？　その高度な手口とは

併せて読みたいお薦め記事

その他セキュリティ関連で人気の話題

• 身代金110億円「史上最悪級のランサムウェア被害」を防げなかった理由
• Appleへのバックドア要求は妥当なのか　“法的な限界”を探る英政府の真の狙い

　Mandiantが公表したレポートには「Ghost in the Router」というタイトルが付けられている。これは日本の漫画・アニメ作品である「攻殻機動隊」から引用されたものだと推測され、同作品で描かれているような高レベルなサイバー戦がいよいよ現実世界でも実現しつつあるという見方が込められたものだと考えられる。

　MandiantがJuniperと共同で実施している調査によれば、攻撃対象となったルーターシリーズ「Juniper MX」では、既にサポート終了となったハードウェアやソフトウェアが使用されていたことが判明している。当該のバックドアはマルウェア感染によってシステムに導入され、それが検出されることを困難にするためにログ機能を停止させる機能も実装されているという。

　Junos OSには「Veriexec」と呼ばれる保護機能が実装されており、正規のコード以外は実行できないように保護している。Mandiantはこれについて次のように説明する。「UNC3886が（既にJuniperによって対策済の）Veriexec回避手法を使って不正なバイナリコードの実行に成功したことを示す証拠はつかんでいないが、それにもかかわらず彼らはJunos OS上にバックドアを仕込むことに成功している。これには、対象デバイスのルートアクセス権限が悪用されたことが分かっている」

　UNC3886はVeriexecによる保護を回避するために「実行中の正規プロセスが使用するメモリ領域を書き換えてマルウェアコードを実行させる」などの高度な手法を用いている。こうした点も踏まえてMandiantは「攻撃者は標的となるシステムの内部の技術的詳細について深く理解している」と指摘している。

　UNC3886はこれまでも、仮想化基盤やエッジデバイス（ネットワークに接続するためにネットワーク末端に配置されるデバイス）を狙い、ゼロデイ脆弱性（修正プログラムが提供される前の脆弱性）を活用した高度な攻撃を実施していることが分かっている。Mandiantは今回のようなネットワーク機器に対する攻撃では、ユーザー企業で侵入検知の方法として導入が拡大している「EDR」（Endpoint Detection and Response）の監視対象外となっていることが多く、侵入に気付きにくいと指摘している。

　UNC3886はネットワーク機器への侵入やバックドアの設置を通じてネットワーク内部での特権アクセス権限を取得し、価値の高い情報の窃取などにつなげる狙いだと想定される。Mandiantではユーザー企業に対し、以下の対策を講じることを推奨している。

• Juniper製品のアップデート
• マルウェアの検出・除去ツール「Juniper Malware Removal Tool」（JMRT）によるセキュリティチェックの実行
• アイデンティティー管理や多要素認証（MFA）
• 役割ベースのアクセス制御（RBAC：Role Based Access Control）などユーザー認証をよりセキュアにする対策の導入
• 構成管理の導入
• モニタリングの高度化
• 脆弱性管理
• デバイス・ライフサイクル管理
• 脅威インテリジェンスの活用