中国系APT「Twill Typhoon」が日本含むAPACを標的、Sogou IME経由でFDMTPバックドアを展開

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「国家系APTって名前は聞くけれど、本当に自社が狙われるのだろうか?」
「正規Windowsツールを使った攻撃って、どうやって見抜けるのだろう?」

チップス

ボス、Darktraceが中国系のAPTが日本も含むアジアを狙ってるって出してたんでしゅ。Sogou入力って中国系のソフトでしゅよね…?

ボス

ふふふ、するどい。「Twill Typhoon」と名付けられたグループが、Sogou Pinyin IMEのDLLハイジャックを起点にFDMTPバックドアを送り込んでくる構図だ。日本企業もスコープに入っているからな、油断は禁物だぞ。

本記事では、Darktraceが報告したTwill Typhoonの諜報キャンペーンの概要と、日本企業がいま備えるべき防御の考え方をやさしく整理します。
多国籍に拠点を持つ企業や、製造業・素材産業のセキュリティ担当者の方に役立つ内容です。

  • 中国系APT「Twill Typhoon」が日本含むAPAC企業をターゲットに諜報活動
  • 正規Windowsツールの悪用とDLLサイドローディングでFDMTPバックドアを展開
  • 個別IoCではなく振る舞いベースの検知に切り替える必要がある

読み終えるころには、自社が同様の攻撃を受けたときに何を見ればよいのか、検知の軸が見えてくるはずです。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

Twill Typhoonキャンペーンの概要

まずはDarktraceが観測した攻撃の輪郭と、特徴的な攻撃ステップを押さえます。

2025年秋から続くAPAC企業への執拗な諜報活動

Twill Typhoonは2025年9月以降、複数の顧客環境で観測された中国系APTグループです。
主戦場はアジア太平洋(APAC)地域で、日本・台湾・東南アジアの企業や中華系のディアスポラを抱える組織が対象になっています。
目的は破壊や金銭ではなく、長期に居座って機密情報を抜く「諜報」型の活動である点が特徴です。
詳細はIndustrial Cyberの報道に整理されています。

  • 観測期間:2025年9月以降
  • 対象地域:日本含むAPAC、中華系コミュニティを抱える組織
  • 主目的:長期潜伏型の諜報活動と機密情報収集
チップス

製造業を狙うAPTって設計図とか開発データを抜きに来るって聞きましゅが、それを長期に潜まれるのは怖いでしゅ…!

ボス

そうだな。気づかれずに数か月以上居座れる相手は、業界の競争力そのものを削りに来る。発見の遅れが致命傷になるわけだ。

攻撃の仕組みと検知の鍵

続けて、攻撃の具体ステップと、なぜ従来型の検知では不足するのかを整理します。

正規ファイル+悪意DLL+FDMTPの3段構成

Twill Typhoonの侵入チェーンは「正規実行ファイル」「設定ファイル」「悪意DLL」の3点セットを段階的に取得・配置し、最後に更新版のFDMTPバックドアを起動する流れです。
初期足場ではClickOnceやVisual Studioの正規Windowsコンポーネントを悪用し、Sogou Pinyin IMEのDLLハイジャックを起点に侵入します。
FDMTPはシステムプロファイリング、リモートコマンド実行、レジストリ永続化、プラグイン機構による機能拡張に対応した多機能バックドアで、活動範囲を内部で広げていきます。

  • 正規ツールの組み合わせで従来型シグネチャ検知を回避
  • レジストリ永続化で再起動後も活動継続
  • プラグイン拡張で機能を後付け、長期潜伏に最適化

IoC固定の検知から振る舞いベース検知へ

Darktraceは「個別のIoCだけに頼った検知はすぐに陳腐化する」と指摘し、行動シーケンスを軸にした検知の重要性を強調しています。
具体的にはClickOnce経由の不審なファイル取得、Sogou IMEを介したDLL読み込み、レジストリ永続化、外向き通信の組み合わせを連鎖として捉える設計が有効です。
EDR・XDRの検知ロジックを振る舞いベースに見直し、ハッシュ値偏重の運用から脱却することが、Twill Typhoonに限らず長期潜伏型APTへの王道の対策になります。

チップス

振る舞いって難しそうでしゅが、要は「単発じゃなく動きの連鎖を見る」って意味でしゅよね…!

ボス

その通りだ。攻撃者は単発のツールを差し替え続けるが、ふるまいの順序まで完全に変えるのは難しい。そこを見抜く目を養えば、強い守りになるな。

まとめ

Twill Typhoonは、日本企業のWindows端末が国家系APTの主戦場であり続ける現実を改めて示した事例です。
正規ツールを駆使する攻撃を見抜くには、IoCの追いかけ合いから一歩進み、振る舞いと連鎖で異常を捉える運用への移行が欠かせません。
監視体制やルール整備の手が足りない現場では、即戦力のフリーランス専門家を巻き込む選択肢も検討する価値があります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次