Juniper製ルーターに「攻殻機動隊さながら」の高度マルウェア攻撃 その手口はMandiantが調査を公表

Mandiantは、Juniper製ルーターを標的にした高度なマルウェア攻撃に関するレポートを公表した。ネットワークセキュリティに重大なリスクをもたらすものと見られ、迅速な対策が求められる。

2025年03月13日 07時00分 公開
[渡邉利和]

 Google傘下のセキュリティベンダーMandiantは2025年年3月12日(米国時間)、中国政府の支援が疑われる諜報活動グループ「UNC3886」が、Juniper Networks製のルーターで使われているネットワークOS「Junos OS」にバックドア(不正アクセスのための侵入口)を仕掛けていたことを公表した。

画像 Ghost in the Router: China-Nexus Espionage Actor UNC3886 Targets Juniper Routers(出典:Google CloudのWebサイト)《クリックで拡大》

まるで「攻殻機動隊」? その高度な手口とは

 Mandiantが公表したレポートには「Ghost in the Router」というタイトルが付けられている。これは日本の漫画・アニメ作品である「攻殻機動隊」から引用されたものだと推測され、同作品で描かれているような高レベルなサイバー戦がいよいよ現実世界でも実現しつつあるという見方が込められたものだと考えられる。

 MandiantがJuniperと共同で実施している調査によれば、攻撃対象となったルーターシリーズ「Juniper MX」では、既にサポート終了となったハードウェアやソフトウェアが使用されていたことが判明している。当該のバックドアはマルウェア感染によってシステムに導入され、それが検出されることを困難にするためにログ機能を停止させる機能も実装されているという。

 Junos OSには「Veriexec」と呼ばれる保護機能が実装されており、正規のコード以外は実行できないように保護している。Mandiantはこれについて次のように説明する。「UNC3886が(既にJuniperによって対策済の)Veriexec回避手法を使って不正なバイナリコードの実行に成功したことを示す証拠はつかんでいないが、それにもかかわらず彼らはJunos OS上にバックドアを仕込むことに成功している。これには、対象デバイスのルートアクセス権限が悪用されたことが分かっている」

 UNC3886はVeriexecによる保護を回避するために「実行中の正規プロセスが使用するメモリ領域を書き換えてマルウェアコードを実行させる」などの高度な手法を用いている。こうした点も踏まえてMandiantは「攻撃者は標的となるシステムの内部の技術的詳細について深く理解している」と指摘している。

 UNC3886はこれまでも、仮想化基盤やエッジデバイス(ネットワークに接続するためにネットワーク末端に配置されるデバイス)を狙い、ゼロデイ脆弱性(修正プログラムが提供される前の脆弱性)を活用した高度な攻撃を実施していることが分かっている。Mandiantは今回のようなネットワーク機器に対する攻撃では、ユーザー企業で侵入検知の方法として導入が拡大している「EDR」(Endpoint Detection and Response)の監視対象外となっていることが多く、侵入に気付きにくいと指摘している。

 UNC3886はネットワーク機器への侵入やバックドアの設置を通じてネットワーク内部での特権アクセス権限を取得し、価値の高い情報の窃取などにつなげる狙いだと想定される。Mandiantではユーザー企業に対し、以下の対策を講じることを推奨している。

  • Juniper製品のアップデート
  • マルウェアの検出・除去ツール「Juniper Malware Removal Tool」(JMRT)によるセキュリティチェックの実行
  • アイデンティティー管理や多要素認証(MFA)
  • 役割ベースのアクセス制御(RBAC:Role Based Access Control)などユーザー認証をよりセキュアにする対策の導入
  • 構成管理の導入
  • モニタリングの高度化
  • 脆弱性管理
  • デバイス・ライフサイクル管理
  • 脅威インテリジェンスの活用

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

技術文書・技術解説 パロアルトネットワークス株式会社

複雑なセキュリティ環境において、XDRが有効な対応策である理由とは?

クラウドやIoTなど、デジタルテクノロジーの急速な進化に伴い、企業の機密データに対するリスクも飛躍的に高まることになった。サイバーセキュリティを取り巻く環境が複雑化する中、有効な対応策として注目されているのがXDRだ。

製品資料 パロアルトネットワークス株式会社

現在のSOCが抱える課題を解決、AI主導のセキュリティ運用基盤の実力とは?

最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

製品資料 パロアルトネットワークス株式会社

SD-WANやZTNAがもたらす課題の解決策として、SASEが注目されている理由とは?

リモートワークの増加に伴い、組織は、SD-WANやZTNAなどを導入したが、現在はこれらのレガシー技術が、コストやセキュリティの面で新たな課題をもたらしている。これらの課題を解決するための手法として注目したいのが、SASEだ。

市場調査・トレンド パロアルトネットワークス株式会社

分散環境を効果的に保護、ゼロトラストネットワークアクセスを進化させる方法

「支社や拠点の増加」「従業員とデバイスの分散」「IoTデバイスの爆発的な普及」などの要因により、サイバー犯罪者にとってのアタックサーフェスが著しく拡大した。こうした中で、企業が自社の環境を効果的に保護する方法を解説する。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...