Nihon Cyber Defence

NCD サイバー脅威インテリジェンス:Gelsemium APTグループ について​

中国と連携し、日本企業を標的とするサイバー脅威​

Edit Template

2014年から活動している中国系の高度持続的脅威(APT)グループ「Gelsemium」は、日本を含む東アジア地域において、深刻なサイバー脅威をもたらしています。このグループは、カスタムマルウェアを駆使した高度なサイバースパイ活動を展開し、機密データへの不正アクセスや流出を狙っています。特に技術的・産業的に優れた日本企業は格好の標的となっています。

Gelsemiumの戦術とツール​

Gelsemiumは、Linuxベースのツール「WolfsBane」や、古いバックドア「Project Wood」に関連する「FireWood」などのカスタムマルウェアを使用しているスパイ活動に特化したAPTです。これらのマルウェアは、機密情報の盗み出しや、ウェブやネットワークの脆弱性を悪用するために設計されており、さらにルートキットのような高度な技術を使って検知を回避することができます。Gelsemiumは特にLinuxシステムを標的とし、新たな脆弱性を素早く悪用する能力に優れています。その結果、攻撃を受けた場合、知的財産の流出や業務の中断、さらには企業イメージの低下といった深刻なリスクに直面する可能性があります。攻撃手法は、まず公開サーバーへの侵入から始まり、ネットワーク内で横方向に展開しながら重要なシステムにまで影響を及ぼします。

Gelsemiumは、「FireWoodバックドア」と「Project Wood」の関連性から、Blackwood APTグループと関係している可能性が指摘されています。Blackwoodは少なくとも2018年から活動しており、中国、日本、イギリスの個人や企業を標的としたサイバースパイ活動を展開してきました。Blackwoodは、AiTM(Adversary-in-the-Middle)攻撃を使用することで知られ、ネットワーク通信を傍受して認証情報を盗み出し、暗号鍵を偽造してさらなる攻撃を可能にします。この技術は、Tencent QQ、WPS Office、Sogou Pinyinといったソフトウェアのアップデート・メカニズムを悪用し、NSPX30インプラントを展開するために活用されてきました。Blackwoodが日本を標的にしてきた過去を踏まえると、Gelsemium APTグループも日本に深刻な脅威をもたらす可能性があります。

脅威アクターの帰属関係図

Threat Actor Attribution Chart​

Gelsemiumから身を守るための具体的な対策以下の通りです:​

  • Linuxシステムの安全性を確保:脆弱性に定期的にパッチを適用し、認証を強化。Linux専用の侵入検知システム(IDS)を導入する。
  • ウェブセキュリティを強化:脆弱性の特定と修正、セキュアなコーディングの実践、ウェブアプリケーションファイアウォール(WAF)の活用を徹底する。
  • 高度なエンドポイントセキュリティを導入:EDR(Endpoint Detection and Response)ツールを活用し、サーバー環境を監視して脅威に迅速に対応する。
  • 従業員の教育:フィッシングやソーシャルエンジニアリング攻撃への対策として、従業員への教育プログラムを実施する。

Gelsemiumのような高度なサイバー脅威は、企業が強固なサイバーセキュリティ対策を講じる必要性を改めて浮き彫りにしています。こうしたリスクは、適切な防御策を講じることで効果的に管理することが可能です。プロアクティブな戦略への投資により、企業は資産を保護し、厳しいデジタル環境の中でも競争力を維持できます。

NCDは、Gelsemiumのような脅威に対応するため、地域ごとの特性に合わせた業界別ソリューションを提供しています。最先端のサイバーセキュリティ対策を強化するために、ぜひNCDのガイダンスをご活用ください。

Kenichi-Terashita
寺下健一

日本サイバーディフェンス チーフスレットインテリジェンスオフィサー

セキュリティ分野で20年以上の経験を持つエンジニア兼コンサルタントとして、世界的なサイバー脅威の分析を専門とするチームを率いている。

Edit Template

サイバー成熟度評価 ​

日本サイバーディフェンス(NCD)では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。

サイバーセキュリティフレームワーク(NIST)

国立標準技術研究所

サイバー評価フレームワーク(CAF)

国家サイバーセキュリティセンター

その他の記事を読む

鳥海晋氏が日本サイバーディフェンスのCOOに就任

NCDは、鳥海晋氏を最高執行責任者(COO)に任命し、日本発のサイバー防衛ソリューションを重要インフラ分野で拡大・展開していくための体制を強化しました。...

ソフトウェアが変える戦争のかたち

ソフトウェア技術の進化により、国家防衛の概念が変わりつつあります。日本や米国、そしてその同盟国が、ソフトウェア主導型戦争とサイバーセキュリティにおけるリーダーシップの変化にどのように対応しているのか、その戦略を探ります。...

UNC3944と企業のトップが認識しておくべき課題

UNC3944の攻撃手法は従来型のランサムウェアではありません。重要セクターは、持続的なアクセス、リアルタイムの業務妨害、IDを狙った攻撃への備えが求められています。...

ロバート・スチーブンソン氏 日本サイバーディフェンスのCROに就任

ロバート・スチーブンソン氏は、日本におけるサイバーセキュリティ、OT、エンタープライズ・テクノロジー分野で培った数十年の経験を生かし、最高収益責任者(CRO)として日本サイバーディフェンスに参画しました。...

RansomHubの崩壊とランサムウェアのカルテル型モデルへの移行:サイバーリーダーが知っておくべきこと

RansomHubの崩壊は、ランサムウェアのカルテルモデルへの移行を示唆している。NCDの名和利男氏(CTO)が、日本のサイバーリーダーが重要分野を守るために知っておくべきことを解説します。...

ジョン・ムーア氏、日本サイバーディフェンスのCFOに就任

NCDは、ジョン・ムーア氏をCFOに迎えました。20年以上にわたり日本やアジア太平洋地域(APAC)を含むグローバル市場を牽引してきたムーア氏が、今後はNCDの財務戦略を指導し、「日本の安全保障におけるサイバーセキュリティ強化」というミッションを推進していきます。...

日本の重要インフラを脅かす中国系APT

Salt、Volt、Silk Typhoonなど中国系APTが日本の重要インフラを標的に。脅威の実態と防御戦略を詳しく解説。...

未来のサイバーセキュリティを担う女性たちの育成

NCDが北アイルランドの首府ベルファストで開催されたEmpower Girlsに出展。全国22校から約600人の女子学生にサイバーセキュリティの体験と職業意識を提供しました。...

NCDとNetcraft社が戦略的パートナーシップを締結

日本サイバーディフェンス(NCD)がNetcraft社と戦略的パートナーシップを締結。リアルタイムでのフィッシング検知とテイクダウンを実現。この企業連携が国内のサイバーセキュリティ強化にどう貢献するのかを紹介。...
Edit Template