中国系ハッカー集団「Earth Ammit」、台湾のドローンサプライチェーンを攻撃

2025年5月13日、トレンドマイクロは、脅威アクター「Earth Ammit」による台湾のドローンサプライチェーンを標的とした一連のサイバー攻撃に関するレポートを公開した。

中国語圏のAPTグループと関連があるとされるEarth Ammitは、2023年から2024年にかけて「VENOM」および「TIDRONE」というサイバー攻撃キャンペーンを展開。台湾と韓国の主要産業に深刻な影響を及ぼした。

本記事では、レポートの概要と、レポート内で提示された6つのサプライチェーン攻撃への対策を、更に深掘りする。

参考サイト：Earth Ammit Disrupts Drone Supply Chains Through Coordinated Multi-Wave Attacks in Taiwan

サイバー攻撃キャンペーン「VENOM」と「TIDRONE」

VENOMキャンペーンでは、ソフトウェアサービスプロバイダを標的とし、低コストかつ追跡困難なオープンソースツールを駆使。一方、TIDRONEでは軍需産業を狙い、独自のバックドア型マルウェア「CXCLNT」や「CLNTEND」を使用した。

これらのツールは、サイバー諜報活動を目的として設計されており、認証情報やスクリーンショットの窃取を通じて機密データを収集。

Earth Ammitの攻撃は、サプライチェーンの上流を侵害することで信頼されたネットワークに侵入し、下流の高価値ターゲットに波及する戦略的な手法を採用。被害は軍事、衛星、重工業、メディア、テクノロジー、ヘルスケア業界に及び、特に台湾と韓国で顕著だった。（詳細は公式サイトを参照）

推奨される対策

トレンドマイクロは、こうしたサプライチェーン攻撃への対策として6点を推奨している。

サードパーティリスクの管理
コード署名の徹底
ソフトウェア挙動およびAPI使用の監視
最新パッチの適用
ゼロトラストアーキテクチャの導入
EDRおよび挙動監視の強化

Ops Todayでは、トレンドマイクロが提示した「推奨される対策」を、各対策の背景や具体的な実施方法、期待される効果を解説し、技術的・実践的な視点から深く考察する。

サードパーティリスクの管理

Earth Ammitの攻撃は、サプライチェーンの上流（例: ソフトウェアサービスプロバイダ）を侵害し、信頼された関係を悪用して下流の高価値ターゲットに波及する手法を採用しています。サードパーティ（ベンダーやパートナー）は、セキュリティ基準が自社と異なる場合が多く、攻撃の入口となり得ます。

具体的な実施方法

ベンダー評価: サードパーティとの契約前に、セキュリティ体制（例: ISO 27001認証、SOC 2コンプライアンス）、脆弱性管理プロセス、インシデント対応能力を評価。
継続的監視: サードパーティのセキュリティパフォーマンスを定期的に監査し、異常な挙動（例: 不審なAPI呼び出し）を検知するツールを導入。
契約条項の強化: セキュリティ基準やデータ保護に関する明確なSLA（サービスレベル契約）を設定し、違反時の責任を明確化。
SBOM（ソフトウェア部品表）の活用: サードパーティが提供するソフトウェアの構成要素を把握し、既知の脆弱性を追跡。

期待される効果

サードパーティを介した攻撃リスクを軽減し、サプライチェーン全体のセキュリティを強化。たとえば、VENOMキャンペーンで悪用されたオープンソースツールの不正使用を早期発見しやすくなる。

コード署名の徹底

Earth Ammitはマルウェア（例: CXCLNT、CLNTEND）を正規のソフトウェアに見せかけて配布し、信頼されたネットワークに侵入しました。コード署名は、ソフトウェアの出自と完全性を保証する仕組みですが、不適切な管理（例: 証明書の盗難）により攻撃者に悪用されるリスクがあります。

具体的な実施方法

デジタル署名の必須化: すべてのソフトウェア（内部開発およびサードパーティ製）に、信頼できるCA（認証局）発行のデジタル署名を要求。
証明書の保護: コード署名用証明書をHSM（ハードウェアセキュリティモジュール）で管理し、不正アクセスを防止。
署名検証の自動化: エンドポイントやサーバーで、署名されていないコードや改ざんされたコードの実行をブロックするポリシーを設定（例: WindowsのAppLockerやmacOSのGatekeeper）。
証明書失効リスト（CRL）の監視: 盗まれた証明書が悪用されていないか定期的に確認。

期待される効果

不正なソフトウェアの実行を防止し、Earth Ammitが用いた偽装マルウェアの侵入を阻止。信頼できるソフトウェアのみが稼働することで、システムのインテグリティが向上する。

ソフトウェア挙動およびAPI使用の監視

Earth Ammitのマルウェアは、異常な挙動（例: スクリーンショットの取得、認証情報の窃取）や不審なAPI呼び出しを通じて機密情報を収集しました。従来のシグネチャベースの検知では、こうした動的な攻撃を捕捉しにくい。

具体的な実施方法

挙動監視ツールの導入: EDR（エンドポイント検出応答）ソリューション（例: Trend Vision One、CrowdStrike、SentinelOne）を活用し、プロセス、ファイル操作、ネットワーク通信の異常をリアルタイムで検知。
API監視: クラウドサービスや内部アプリケーションのAPI呼び出しをログ化し、異常なパターン（例: 通常と異なるIPからの高頻度アクセス）を特定。
ベースラインの構築: 正常なソフトウェア挙動のベースラインを確立し、逸脱をアラートとして通知。
機械学習の活用: 異常検知にAIを活用し、未知のマルウェアやゼロデイ攻撃を特定。

期待される効果

動的な攻撃パターンをリアルタイムで検知し、Earth Ammitのマルウェアによるデータ漏洩やシステム侵害を早期に阻止。たとえば、CXCLNTの異常なスクリーンキャプチャ挙動を即座に特定可能。

ゼロトラストアーキテクチャの導入

Earth Ammitは、信頼されたネットワーク内での横移動を通じて高価値ターゲットに到達しました。従来の「信頼を前提とした」セキュリティモデルでは、内部の侵害を防げません。ゼロトラストは「決して信頼せず、常に検証する」原則に基づく。

具体的な実施方法

アイデンティティ検証: MFA（多要素認証）をすべてのユーザーとデバイスに適用し、認証情報の盗難を防止。
最小権限の原則: ユーザーやアプリケーションに必要最低限のアクセス権のみを付与（例: RBAC、ABAC）。
マイクロセグメンテーション: ネットワークを細分化し、侵害されたデバイスが他のリソースにアクセスできないように制限。
継続的認証: BeyondCorpやZscalerのようなソリューションで、セッション中もリアルタイムでアクセスを検証。

期待される効果

内部ネットワークでの横移動を阻止し、Earth Ammitの攻撃が重要な資産に到達するのを防止。たとえば、TIDRONEキャンペーンでの軍需産業への侵入を局限化できる。

EDRおよび挙動監視の強化

Earth Ammitの攻撃は、従来のアンチウイルスでは検知が難しいカスタムマルウェアやファイルレス攻撃を多用します。EDRは、挙動ベースの検知とインシデント対応を強化し、未知の脅威に対応します。

具体的な実施方法

EDRソリューションの展開: Trend Vision One、Microsoft Defender for Endpoint、Palo Alto Cortex XDRなどを導入し、エンドポイントの可視性を確保。
脅威ハンティング: 専任チームがEDRデータを分析し、潜伏する脅威（例: CXCLNTのプロセスインジェクション）を能動的に発見。
インシデント対応の自動化: SOAR（Security Orchestration, Automation, and Response）ツールを統合し、検知後の隔離や修復を迅速化。
ログの長期保存: 攻撃の遡及分析を可能にするため、EDRログを最低6か月間保存。