チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「うちのルーターやネットワークカメラが、知らないうちに偵察に使われてないか心配でしゅ……」
「攻撃でも止められてもいないのに、静かに狙われてるって、どう気づけばいいんでしゅか?」
チップス古いネットワーク機器、社内にまだ残ってるでしゅ……これって踏み台にされちゃうんでしゅか?
ボスふふふ、いい着眼点だな。今回の事案は「攻撃の前段階」で動く偵察ボットネットだ。手口を知れば、自社の盲点が見えてくるぞ。
本記事では、中国系のJDYボットネットが1,500台超に拡大した経緯と、その偵察手口、企業が押さえておくべき備えを整理します。
読み終える頃には、見落としがちな古い機器こそが侵入の起点になる理由と、その潰し方が手に入ります。
オススメ案件
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずはBleepingComputerが報じた事実関係を整理します。
JDYは中国系の国家支援アクターに結びつく隠密ボットネットで、Black Lotus Labsの調査では米軍および関連組織が最も顕著な標的とされています。
規模は2024年1月時点で約650台でしたが、現在は1,500台を超えるSOHO・IoT機器まで拡大しました。
構成されているのはCisco、Araknis、Mimosa Networks、Ubiquiti、DrayTek、Hikvision、Linksysといった機器で、MIPS/MIPS64/MIPSEL系のアーキテクチャを狙っています。
標的地域は米国が最多で、Volt Typhoonなど他の中国系アクターとの関連も指摘されており、単発の悪戯では片づけられない動きです。
事案の主要な数値とポイントは以下のとおりです。
| 項目 | 内容 |
|---|---|
| 名称 | JDY(中国系国家支援アクター関連の隠密ボットネット) |
| 規模の推移 | 2024年1月 約650台 → 現在 1,500台超 |
| 構成機器 | Cisco、Ubiquiti、DrayTek、Hikvision等のSOHO・IoT機器 |
| 標的 | 米軍および関連組織(米国が最多) |
| 主目的 | サービス探索・バナーグラビング・脆弱性スキャンによる偵察 |
チップス機器を乗っ取って攻撃じゃなくて、まず「下調べ」をしてるってことでしゅか?
ボスそこが今回の肝だな。派手な破壊はしない。だからこそ気づかれにくい。静かに地図を描かれていると思え。
JDYの本質は、侵入そのものではなく「侵入の前段階」を産業化している点にあります。
JDYはエクスプロイトやDDoSのフレームワークではなく、サービス探索・バナーグラビング・脆弱性に着目したスキャンを大量にこなす偵察ネットワークです。
公開直後でまだパッチが当たっていない脆弱な基盤を素早く洗い出す動きで、攻撃の下準備を効率化しています。
Dragosの調査では、エネルギー・石油・ガス・防衛セクターの公開IP範囲やVPN機器のスキャンに使われ、将来の侵入の事前準備(pre-staging)とみられるとされます。
日本を含むインド太平洋地域も関心対象とされており、海外の話と切り離せない状況です。
自社で押さえておきたい備えをまとめると次のとおりです。
偵察は「攻撃される前」に静かに進むため、機器の棚卸しと露出の点検を平時から回しておくことが効きます。
チップス古い機器、便利だからって置きっぱなしにしてたでしゅ……これから棚卸ししましゅ!
ボスその姿勢でいい。今回の事案を社内説明の材料にすれば、放置されてきた機器の更新も通しやすくなるぞ。
JDYボットネットは、攻撃でもDDoSでもなく「偵察」に特化することで気づかれにくく、約2年で2倍以上に規模を伸ばしました。
狙われるのはサポート切れのSOHO・IoT機器で、エネルギーや防衛など重要セクターの公開基盤が下調べの対象になっています。
機器の棚卸し、ファーム更新、公開サービスの露出点検、外部スキャンの監視を組み合わせ、偵察される前提で守りを固めることが現実的な一手です。
こうした基盤防御やインシデント対応の現場で力をつけたい方は、ぜひセキュリティフリーランス案件で多様な環境を経験してみてください。
参考: BleepingComputer「China-linked JDY botnet expands targeting of U.S. military networks」
オススメ案件
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
