2024年7月から2025年3月にかけて、中国政府と関連するサイバー脅威グループAPT15およびUNC5174が、セキュリティ企業SentinelOneを含む70以上の高価値な組織を標的とした大規模な攻撃を実施した。
この攻撃はPurpleHazeおよびShadowPadと呼ばれる活動クラスターに分類され、2024年10月にはSentinelOneのインターネット接続サーバーへの偵察が確認され、2025年初頭にはSentinelOne従業員向けハードウェア管理を行うサードパーティのITサービス企業を経由したサプライチェーン攻撃の試みがあった。
被害組織には南アジアの政府機関、欧州のメディア組織、製造業、金融、通信、研究など幅広い業界が含まれる。攻撃者はShadowPadやGOREshellなどのマルウェア、ORBネットワーク、Ivantiクラウドの脆弱性CVE-2024-8963およびCVE-2024-8190を悪用した。
SentinelOneは自社のインフラやソフトウェア、ハードウェアに侵害痕跡は確認されなかったと報告している。
From: 
China-Backed Hackers Target SentinelOne in ‘PurpleHaze’ Attack Spree
【編集部解説】
今回の事案は、サイバーセキュリティ業界に重要な転換点を示すものです。従来の「防御ツールの回避」から「防御基盤そのものの破壊」へ戦略が進化した点が最大の特徴と言えます。
戦略的標的の変化が顕著です。セキュリティベンダーが直接攻撃されることで、敵対者は防御システムの内部構造を解析し、検知回避技術を高度化できます。これは「盾を研ぐ者が刃に晒される」という新たなリスク構造を生み出しています。
SentinelOneの報告書によると、2024年7月から2025年3月の間に70以上の組織が同一の攻撃クラスターに狙われた事実は、攻撃側の効率化が進んでいる証左です。
技術的な進化も無視できません。ORB(Operational Relay Box)ネットワークの使用は、動的にインフラを変更可能な点で従来のC2サーバーと異なります。
APAC地域のクラウドサービスを中継点に活用する手法は、地理的な追跡を困難にし、攻撃の持続性を高めています。さらにScatterBrainコンパイラによるShadowPadの難読化は、従来のPlugX比べて検出回避率が47%向上したとの分析があります。
AI技術の二面性も浮き彫りになりました。攻撃側はAIで脆弱性探索を効率化し、防御側はSentinelOneのPurpleAIのようにアラート分析を自動化しています。この「AI対AI」の構図は、人的リソースに依存した従来のセキュリティ運用モデルを根本から変える可能性を秘めています。
中長期的な影響として、サプライチェーンセキュリティの再定義が急務です。ITロジスティクス企業を経由したハードウェア改ざんの試みは、物理層からの侵入経路が未対策であることを露呈しました。量子耐性暗号の早期実装と、ハードウェア製造プロセスへのブロックチェーン追跡システム導入が現実解として浮上しています。
規制面では「セキュリティベンダー向けの特別基準」策定の動きが加速するでしょう。EUのNIS2指令や米国のCISA基準が想定していなかった「防御側インフラの脆弱性」に対処するため、2026年までに新しい国際基準が策定される見込みです。
最後にポジティブな側面として、この事案は業界横断的な情報共有の重要性を再認識させる契機となりました。SentinelOneが自社の被攻撃事例を公開したように、透明性の高い協業モデルが生まれつつあります。これはテクノロジー進化の本質である「人類の共同的進化」に沿う動きと言えるでしょう。
【用語解説】
ShadowPad
中国系APTグループが多用するモジュール型バックドア。2015年から活動が確認され、プラグインシステムで機能拡張可能。
ORBネットワーク
攻撃者が動的にインフラを変更可能な中継ネットワーク。地理的追跡を困難にする特徴を持つ。
GOREshell
Go言語製のリバースSSHツールを1改変したマルウェア。Windows/Linux双方で動作可能。
CVE-2024-8963/CVE-2024-8190
Ivantiクラウドサービスの脆弱性。認証回避やリモートコード実行を許容。
APT15
中国政府と関連するサイバー諜報グループ。1990年代から活動し、ENFAL/BALDEAGLEマルウェアを使用。
UNC5174
中国政府の請負業者とされるハッカーグループ。オープンソースツールを悪用する特徴を持つ。
ScatterBrainコンパイラ
ShadowPadの難読化に使用される独自ツール。従来比47%検出回避率向上。
サプライチェーン攻撃
信頼できるサードパーティを経由した侵入手法。ITロジスティクス企業が標的化された。
ゼロデイ脆弱性
ベンダー未把握の脆弱性。攻撃グループが独自に発見・悪用する事例が増加。
【参考リンク】
SentinelOne公式サイト(外部)
AI駆動型のサイバーセキュリティプラットフォームを提供しています。
Ivanti公式サイト(外部)
エンドポイント管理ソリューションを開発・提供しています。
Check Point公式サイト(外部)
ファイアウォールなどセキュリティ製品を展開しています。
ShadowPad検知手法(SOC Prime)(外部)
ShadowPadマルウェアの検出手法を解説しています。
ORBネットワーク分析(Team Cymru)(外部)
ORBネットワークの動作メカニズムを解説しています。
【参考動画】
【参考記事】
SentinelOne shares new details on China-linked breach attempt(外部)
SentinelOneのサプライチェーン攻撃の全容を解説しています。
Over 70 Organizations Across Multiple Sectors Targeted by China…(外部)
70組織以上が標的となった攻撃の詳細を分析しています。
ShadowPad Malware Detection: Backdoor Popular Among Chinese…(外部)
ShadowPadの検出手法と歴史的経緯を解説しています。
【編集部後記】
もし自社のシステムが攻撃された場合、どのように初動対応を取るべきか、皆さんはご存知でしょうか?
今回の事例をきっかけに、普段のセキュリティ対策やサプライチェーンのリスクについて、ご自身やチームで話し合う機会を作ってみませんか。皆さんのご意見やご経験もぜひ教えていただければ幸いです。
