チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「中国系APTがMicrosoft 365に長期潜伏って、うちのクラウド環境も狙われてるんでしゅか?」
「18ヶ月も気付かれない侵入って、どうやって見抜けばいいんでしゅ……」
チップスうちのM365、何もアラートが出てないからって安心していいのか分からなくなってきたでしゅ……。
ボスふふふ、アラートがないことが安全の証ではない、これは肝に銘じるべきだな。事例を見ていこう。
本記事では中国系APT「UNC5221」がM365環境に展開した新マルウェアの手口と、企業が取るべき検知ポイントを解説します。
最後まで読めば、自社のM365監査ログで何を見るべきか、優先順位がつけられます。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
攻撃グループのプロファイルと、被害が広がった経路を整理します。
UNC5221は2023年以降、米国組織のエッジ機器のゼロデイ脆弱性を悪用してきた高度な攻撃者集団です。
今回のキャンペーンでは、Egnyte Storage SyncやMSP(マネージドサービスプロバイダ)の基盤を経由して企業ネットワークに侵入していました。
検出までの平均潜伏期間は18ヶ月以上で、長期にわたって認証情報や機密情報を持ち出していたとみられます。
標的セクターは法律事務所・SaaSプロバイダ・BPO・テック企業に及び、日本の同業界も射程内です。
攻撃キャンペーンの主な特徴は以下のとおりです。
詳細はBleepingComputerの報道で公開されています。
日本でも法律事務所や中堅SaaSベンダーは、機密度の高い情報を扱う一方でEDRやCASBの整備が遅れがちです。
MSP経由で複数顧客に同時侵入する手口は、サプライチェーン攻撃そのものです。
取引先のセキュリティレベルが、自社のリスクに直結する構造を持つ業界は要警戒です。
チップスMSPを通じて一気に複数社が被害に、ってのが一番怖いでしゅ……
ボスそうだ。だから取引先のEDR導入状況も、契約レビューで毎年確認するくらいの姿勢でいい。
PlenetとAgentPSDの役割と、M365での痕跡の探し方をまとめます。
主役のPlenetは.NET製バックドアで、対話型シェル・遠隔コマンド実行・ファイル操作を備えます。
WebSocketで複数のC2サーバへ同時接続する多重化機能を持ち、一部のC2が落ちても通信を継続できる作りです。
補助のAgentPSDはPython製リバースシェルで、Plenet用とは別系統のC2インフラを使う「冗長化」役を担います。
EDRが入っていないSynology NASやLinuxサーバに置かれるケースが多く、検知から逃げる設計が徹底されています。
マルウェアの特徴を整理しました。
| 名称 | 役割 | 実装 |
|---|---|---|
| Plenet(別名Grimbolt) | 主バックドア・遠隔操作 | .NET / WebSocket多重C2 |
| AgentPSD | 冗長化用リバースシェル | Python / 別系統C2 |
| 設置場所 | EDR非導入機器 | Synology NAS、Linuxサーバ |
UNC5221は盗んだ認証情報でM365のConditional Access(条件付きアクセス)を回避します。
監査ログでは、海外IPからのサインイン成功、デバイス未登録のままTeamsやSharePointへアクセス、そしてグラフAPIによる大量メール取得などを優先して確認してください。
EDRが入っていないNASやLinuxホストは、ネットワーク側で外部C2宛通信を観測する設計にしておくと足跡を捕まえやすくなります。
チップス条件付きアクセスを設定済みでも、突破される前提でログを見るんでしゅね!
ボスそうだ。CAは万能ではない。突破された後の動きを掴む目を、別途持っておくのが現実的だ。
UNC5221のキャンペーンは、エッジ機器・MSP・盗用認証情報の3点セットで、M365に長期潜伏する典型例です。
EDRなしのNASやLinuxホストが「死角」となっていたことが、18ヶ月の潜伏を許した最大要因でした。
M365監査ログのチェック、条件付きアクセス突破前提の検知、そしてNAS/Linuxの通信可視化、ここを今週中に着手してください。
静かに侵入される攻撃ほど、能動的に探しにいかないと見つかりません。
ボスアラートを待つな、自分から探しに行け。これがAPT時代の防御の作法だ。
チップス今週中にM365監査ログ、見直してみるでしゅ!
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
