Juniper製ルーターに「攻殻機動隊さながら」の高度マルウェア攻撃 その手口はMandiantが調査を公表

Mandiantは、Juniper製ルーターを標的にした高度なマルウェア攻撃に関するレポートを公表した。ネットワークセキュリティに重大なリスクをもたらすものと見られ、迅速な対策が求められる。

2025年03月13日 07時00分 公開
[渡邉利和]

 Google傘下のセキュリティベンダーMandiantは2025年年3月12日(米国時間)、中国政府の支援が疑われる諜報活動グループ「UNC3886」が、Juniper Networks製のルーターで使われているネットワークOS「Junos OS」にバックドア(不正アクセスのための侵入口)を仕掛けていたことを公表した。

画像 Ghost in the Router: China-Nexus Espionage Actor UNC3886 Targets Juniper Routers(出典:Google CloudのWebサイト)《クリックで拡大》

まるで「攻殻機動隊」? その高度な手口とは

 Mandiantが公表したレポートには「Ghost in the Router」というタイトルが付けられている。これは日本の漫画・アニメ作品である「攻殻機動隊」から引用されたものだと推測され、同作品で描かれているような高レベルなサイバー戦がいよいよ現実世界でも実現しつつあるという見方が込められたものだと考えられる。

 MandiantがJuniperと共同で実施している調査によれば、攻撃対象となったルーターシリーズ「Juniper MX」では、既にサポート終了となったハードウェアやソフトウェアが使用されていたことが判明している。当該のバックドアはマルウェア感染によってシステムに導入され、それが検出されることを困難にするためにログ機能を停止させる機能も実装されているという。

 Junos OSには「Veriexec」と呼ばれる保護機能が実装されており、正規のコード以外は実行できないように保護している。Mandiantはこれについて次のように説明する。「UNC3886が(既にJuniperによって対策済の)Veriexec回避手法を使って不正なバイナリコードの実行に成功したことを示す証拠はつかんでいないが、それにもかかわらず彼らはJunos OS上にバックドアを仕込むことに成功している。これには、対象デバイスのルートアクセス権限が悪用されたことが分かっている」

 UNC3886はVeriexecによる保護を回避するために「実行中の正規プロセスが使用するメモリ領域を書き換えてマルウェアコードを実行させる」などの高度な手法を用いている。こうした点も踏まえてMandiantは「攻撃者は標的となるシステムの内部の技術的詳細について深く理解している」と指摘している。

 UNC3886はこれまでも、仮想化基盤やエッジデバイス(ネットワークに接続するためにネットワーク末端に配置されるデバイス)を狙い、ゼロデイ脆弱性(修正プログラムが提供される前の脆弱性)を活用した高度な攻撃を実施していることが分かっている。Mandiantは今回のようなネットワーク機器に対する攻撃では、ユーザー企業で侵入検知の方法として導入が拡大している「EDR」(Endpoint Detection and Response)の監視対象外となっていることが多く、侵入に気付きにくいと指摘している。

 UNC3886はネットワーク機器への侵入やバックドアの設置を通じてネットワーク内部での特権アクセス権限を取得し、価値の高い情報の窃取などにつなげる狙いだと想定される。Mandiantではユーザー企業に対し、以下の対策を講じることを推奨している。

  • Juniper製品のアップデート
  • マルウェアの検出・除去ツール「Juniper Malware Removal Tool」(JMRT)によるセキュリティチェックの実行
  • アイデンティティー管理や多要素認証(MFA)
  • 役割ベースのアクセス制御(RBAC:Role Based Access Control)などユーザー認証をよりセキュアにする対策の導入
  • 構成管理の導入
  • モニタリングの高度化
  • 脆弱性管理
  • デバイス・ライフサイクル管理
  • 脅威インテリジェンスの活用

Copyright © ITmedia, Inc. All Rights Reserved.

譁ー逹€繝帙Ρ繧、繝医�繝シ繝代�

製品資料 Absolute Software株式会社

調査で見えた「業務用PC」のリスク、セキュリティの対応不備はどこに多い?

2024年に実施されたエンドポイントセキュリティに関する調査で、多くの企業がAIやそのセキュリティ課題に未対応であることが明らかになった。本資料では、業務用PCのリスクを回避するための具体的な方法について解説する。

製品資料 パロアルトネットワークス株式会社

優先度の高いアラート対応で手いっぱい、SOC運用を変革する注目の手法とは?

攻撃対象領域の拡大に伴い、SOCは高優先度のアラート対応で手いっぱいになり、トリアージにおいても十分な追加検証が行えていない。この現状を打開するには、AI/機械学習を活用し、大量のデータをセキュリティ対策に生かす手法が有効だ。

製品資料 Absolute Software株式会社

ハイブリッドワークでのリモートアクセスを保護、ZTNAを実現する最適な手段とは

リモートアクセスを保護する方法として注目されるゼロトラストネットワークアクセス(ZTNA)。その実現手段として検討したいのが、エンドポイント上でポリシーを適用し、アクセスをきめ細かく最適化する先進的なZTNAソリューションだ。

製品資料 パロアルトネットワークス株式会社

エンドポイントセキュリティ製品を選ぶ際にチェックしたいポイントとは?

サイバー攻撃が高度化する中、企業・組織はこの対応に苦慮している。本資料では、CISOやSecOpsリーダーなど、役割別の課題を整理し、この解決につながる製品の選定においてチェックしたいポイントを紹介する。

製品資料 パロアルトネットワークス株式会社

AIで真の包括的セキュリティを実現、ハイブリッドワーク時代に選ぶべきSASEとは

ハイブリッドワークの定着により働き方が変化する中、セキュリティを強化する方法として注目されるSASE。だが実際には、スタンドアロン製品で構成されるものも多く、性能に不満の声もあった。これらを解消する、AI搭載の統合型SASEとは?

アイティメディアからのお知らせ

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...