チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「家のWi-Fiルーターから会社のPCまで侵入されるの?」
「PDFリーダーの偽更新で、どうやってAPTが日本企業に入り込むの?」
チップスボス、Tropic TrooperってどこかのAPTで聞いたでしゅ…今回の手口、また進化してるんでしゅか?
ボスそうだな。中国系として知られるグループだが、今回はホームルーター経由で偽更新を流す手法に切り替えてきた。
テレワーク前提の現代を逆手に取ってきたわけだ。
2026年4月24日、Dark ReadingがTropic Trooperによる新キャンペーンを報じました。
Zscaler ThreatLabzの分析では、トロイの木馬化されたSumatraPDFを起点に、AdaptixC2やCobalt Strikeを展開する攻撃チェーンが台湾・韓国・日本の個人を標的にしていることが判明しています。
本記事では侵入経路、使用ツール、そして在宅勤務環境を持つ日本企業が押さえるべき防御策を整理します。
テレワークが定着した今、自宅ルーターの脆弱性は会社のセキュリティ境界そのものです。
本稿で攻撃の流れを追えば、家庭ネットワークを「企業境界の外側」と切り捨てている前提の見直しが進みます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
Tropic Trooperは2024年からウォーターマーク520のCobalt Strikeを使う中国系APTとして追跡されてきました。
今回のキャンペーンでは、攻撃の入口が大きく変化しています。
Dark Readingの報道によると、攻撃者は被害者の家庭用Wi-FiルーターのDNS設定を改ざんし、辞書アプリやPDFリーダーの更新通信を攻撃者サーバーへ誘導しました。
結果として、利用者は正規の更新と区別できないままトロイの木馬化されたSumatraPDFを実行することになります。
Zscalerの分析では、ファイル名に「米英与美澳核潜艇合作的比较分析(2025).exe」など軍事・政治的なルアーが用いられました。
引用元: Dark Reading
チップスルーターのDNS変えられたら、ブラウザの警告も出ないでしゅよね…!
ボスそこが厄介なところだ。HTTPSでも「正規ドメイン+正規証明書+悪意ある中身」を成立させられるケースがある。
SumatraPDF実行から最終ペイロードまで、複数のローダーとC2が組み合わさっています。
各層で検知を逃れる工夫が施されている点が特徴です。
偽SumatraPDFが起動すると、Xiangoop派生のローダーTOSHISが_security_init_cookie関数をハイジャックし、悪意あるコードを実行します。
そこからC2サーバー(158.247.193.100)経由でPDF囮文書とシェルコードをAES-128 CBCで復号して取得。
主な展開マルウェアは以下のとおりです。
| マルウェア | 役割 | 特徴 |
|---|---|---|
| AdaptixC2 Beacon | 主要バックドア | GitHub APIをC2に悪用 |
| Cobalt Strike | 後続ペイロード | ウォーターマーク520で識別 |
| EntryShell | カスタムバックドア | AES-128 ECB(キー: afkngaikfaf) |
引用元: Zscaler ThreatLabz
家庭ネットワークを起点にした攻撃は、従来のVPN+境界防御だけでは止められません。
Zero Trustの考え方を実装レベルで取り入れる必要があります。
チップスうちの会社、家のルーターまで管理しろなんて言ってないでしゅ…これは厳しいでしゅよ。
ボス強制までは難しいが、教育と検知の二段構えなら現実的だ。
家庭ルーターはもはや「会社の境界」の一部だと従業員に伝えるところから始めるといい。
Tropic Trooperの新手口は、ホームルーターと正規ソフトの組み合わせで防御線を迂回するものでした。
テレワーク常態化の盲点を突かれており、企業の「社内/社外」の二分法はもはや通用しません。
EDRの検知ルール強化、業務端末のDNS固定、フリーソフト更新経路の社内統制は今夜から検討に値します。
そして従業員教育で「家のルーターも仕事道具」と意識を変えることが、地味ですが最も効きます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
