NCD サイバー脅威インテリジェンス：Gelsemium APTグループについて

中国と連携し、日本企業を標的とするサイバー脅威

Edit Template

2014年から活動している中国系の高度持続的脅威（APT）グループ「Gelsemium」は、日本を含む東アジア地域において、深刻なサイバー脅威をもたらしています。このグループは、カスタムマルウェアを駆使した高度なサイバースパイ活動を展開し、機密データへの不正アクセスや流出を狙っています。特に技術的・産業的に優れた日本企業は格好の標的となっています。

Gelsemiumの戦術とツール

Gelsemiumは、Linuxベースのツール「WolfsBane」や、古いバックドア「Project Wood」に関連する「FireWood」などのカスタムマルウェアを使用しているスパイ活動に特化したAPTです。これらのマルウェアは、機密情報の盗み出しや、ウェブやネットワークの脆弱性を悪用するために設計されており、さらにルートキットのような高度な技術を使って検知を回避することができます。Gelsemiumは特にLinuxシステムを標的とし、新たな脆弱性を素早く悪用する能力に優れています。その結果、攻撃を受けた場合、知的財産の流出や業務の中断、さらには企業イメージの低下といった深刻なリスクに直面する可能性があります。攻撃手法は、まず公開サーバーへの侵入から始まり、ネットワーク内で横方向に展開しながら重要なシステムにまで影響を及ぼします。

Gelsemiumは、「FireWoodバックドア」と「Project Wood」の関連性から、Blackwood APTグループと関係している可能性が指摘されています。Blackwoodは少なくとも2018年から活動しており、中国、日本、イギリスの個人や企業を標的としたサイバースパイ活動を展開してきました。Blackwoodは、AiTM（Adversary-in-the-Middle）攻撃を使用することで知られ、ネットワーク通信を傍受して認証情報を盗み出し、暗号鍵を偽造してさらなる攻撃を可能にします。この技術は、Tencent QQ、WPS Office、Sogou Pinyinといったソフトウェアのアップデート・メカニズムを悪用し、NSPX30インプラントを展開するために活用されてきました。Blackwoodが日本を標的にしてきた過去を踏まえると、Gelsemium APTグループも日本に深刻な脅威をもたらす可能性があります。

脅威アクターの帰属関係図

Gelsemiumから身を守るための具体的な対策以下の通りです：

Linuxシステムの安全性を確保：脆弱性に定期的にパッチを適用し、認証を強化。Linux専用の侵入検知システム（IDS）を導入する。
ウェブセキュリティを強化：脆弱性の特定と修正、セキュアなコーディングの実践、ウェブアプリケーションファイアウォール（WAF）の活用を徹底する。
高度なエンドポイントセキュリティを導入：EDR（Endpoint Detection and Response）ツールを活用し、サーバー環境を監視して脅威に迅速に対応する。
従業員の教育：フィッシングやソーシャルエンジニアリング攻撃への対策として、従業員への教育プログラムを実施する。

Gelsemiumのような高度なサイバー脅威は、企業が強固なサイバーセキュリティ対策を講じる必要性を改めて浮き彫りにしています。こうしたリスクは、適切な防御策を講じることで効果的に管理することが可能です。プロアクティブな戦略への投資により、企業は資産を保護し、厳しいデジタル環境の中でも競争力を維持できます。

NCDは、Gelsemiumのような脅威に対応するため、地域ごとの特性に合わせた業界別ソリューションを提供しています。最先端のサイバーセキュリティ対策を強化するために、ぜひNCDのガイダンスをご活用ください。

Edit Template

サイバー成熟度評価

日本サイバーディフェンス（NCD）では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。