EU機関30組織のクラウド侵害とAxios・Driftを狙う北朝鮮の多面攻撃
欧州委員会を含む30のEU機関への大規模侵害、北朝鮮による暗号資産2.85億ドル窃盗、Axiosサプライチェーン攻撃など、国家支援型攻撃とサプライチェーン脆弱性が目立つ今日の主要セキュリティニュース
今日のハイライト
本日のニュースは、国家支援型脅威アクターの活動が際立っている。欧州委員会を含む30以上のEU機関がサプライチェーン攻撃の連鎖により侵害され、北朝鮮(DPRK)関連のグループは人気npmパッケージ「Axios」のメンテナを標的としたソーシャルエンジニアリングと、DeFiプロトコル「Drift」からの2.85億ドル窃盗を同時期に実行。さらに中国の脅威アクターはビデオ会議プラットフォームのゼロデイを悪用し政府機関を攻撃するなど、インフラストラクチャと開発者ツールを標的とした高度な攻撃が多様化している。
1. 欧州委員会クラウド侵害:30のEU機関データが流出
概要
欧州連合のサイバーセキュリティ機関CERT-EUは、欧州委員会のAmazonクラウド環境への侵害を「TeamPCP」脅威グループに帰属した。3月10日の初期侵入から5日間検知されずにいたこの攻撃は、Trivyサプライチェーン攻撃で盗まれたAWS APIキーを悪用して実行された。攻撃者はTruffleHogを使用して追加のクレデンシャルを検索し、既存ユーザーに新規アクセスキーを紐付けることで検知回避を図った。結果として、欧州委員会の42の内部クライアントと少なくとも29の他のEU機関に関連する、約340GBのデータ(個人情報、メール内容、ユーザー名を含む)が暗网上のShinyHuntersにより公開された。
考察
この事件は、サプライチェーン攻撃の連鎖的リスクを象徴的に示している。単一の開発ツール(Trivy)の侵害から、欧州主要行政機関のクラウド基盤全体への横展開が実現した点に注目すべきだ。
実務対策として、まずAWS環境におけるAPIキーの管理徹底が不可欠だ。特に「管理権限を持つAPIキー」が他アカウントにも影響を与える構成(クロスアカウントアクセス)は、最小権限の原則に基づき即座に見直すべきである。また、TruffleHogなどのクレデンシャルスキャンツールが攻撃者に悪用された事例から、自社環境でのシークレット管理の自動スキャンを防御側でも積極的に導入し、攻撃者より先に脆弱なキーを発見・無効化する体制が求められる。
技術的洞察として、今回の「5日間の検知遅延」は、CloudTrailなどのログ監視が「異常なAPI呼び出し」ではなく「新規アクセスキーの紐付け」や「TruffleHogの特徴的なスキャンパターン」に気づけなかったことに起因する。単なる「異常トラフィック」監視ではなく、IAM設定の変更(AttachUserPolicy等)に対するリアルタイムアラートと、既存ユーザーへの新規キー追加に対する承認プロセスの導入が重要だ。
TeamPCPの攻撃パターン(GitHub、PyPI、NPM、Dockerを標的としたサプライチェーン攻撃の歴史)は、開発者ツールが国家レベルの標的に対する「トロイの木馬」となりうる現状を示唆している。
参照元
2. ShareFile重大脆弱性:認証回避からのRCE
概要
企業向けファイル共有プラットフォーム「ShareFile」に、認証を回避して任意のファイルをアップロード可能な重大な脆弱性が発見された。複数の脆弱性をチェーンすることで、最終的に認証されていないリモートコード実行(RCE)に至る可能性がある。
考察
ファイル共有プラットフォームは、組織の「非武装地帯(DMZ)」に位置する重要な境界防御点だ。認証回避からのRCEは、単なる情報漏洩に留まらず、プラットフォームを介した内部ネットワークへの踏み台として悪用されるリスクが極めて高い。
即座の対策として、ShareFileを利用している組織は緊急パッチの適用を最優先とすべきだが、それだけでは不十分だ。仮に侵害が既に発生していた場合を想定し、過去30日間のアップロードログの精査、特に「認証済みセッションなしでのファイルアップロード」や「通常の業務パターンと異なる時間帯・ソースIPからのアクセス」に対する調査を実施すべきである。
技術的には、近年のファイル共有サービスの脆弱性は「ファイルアップロード機能のバリデーション不備」と「認証ロジックの分離」に起因することが多い。WebアプリケーションFirewall(WAF)だけでは不十分で、アップロードされたファイルの実行権限剥奪と「アップロードディレクトリからの直接実行防止」による防御纵深(Defense in Depth)が必要だ。また、ShareFileのような既製品を利用する場合でも、マイクロセグメンテーションにより、ファイル共有サーバーから内部ネットワークへの不必要なアクセスを厳密に制限しておくべきである。
参照元
3. UNC1069によるAxiosメンテナ標的のnpmサプライチェーン攻撃
概要
北朝鮮(DPRK)に関連する脅威グループ「UNC1069」が、人気JavaScript HTTPクライアントライブラリ「Axios」のメンテナに対して高度なソーシャルエンジニアリング攻撃を仕掛け、npmサプライチェーンを侵害した。開発者ツールへの信頼を悪用し、広範な開発者コミュニティに悪影響を及ぼす攻撃手法である。
考察
この攻撃は、「人」を標的とするサプライチェーン攻撃の新たな段階を示している。従来のコード注入やリポジトリ侵害に加え、オープンソースメンテナという「人的シングルポイントオブフェイルチャー」を直接標的にする戦術は、極めて効率的かつ検知困難だ。
防御策として、組織はまず「npmパッケージのインストール時の検証プロセス」を見直すべきだ。npm auditだけでは不十分で、lockファイルの変更監視と、メンテナアカウントの「突然の活動停止後の復帰」や「認証方法の変更」といった異常を検知する仕組みが必要だ。特に、Axiosのような広く利用されているライブラリは、内部ミラー(プライベートレジストリ)の構築により、本家の即座の更新を一旦隔離して検証してから導入する「遅延戦略」を検討すべきである。
攻撃者の動機分析では、北朝鮮のグループがnpmパッケージを標的にするのは、暗号資産ウォレットの鍵窃取や、企業内網への初期侵入点確保が目的と考えられる。Axiosはフロントエンド・バックエンド双方で利用されるため、悪意あるコードは開発者のマシンだけでなく、本番環境の認証トークン流出にも悪用されうる。開発者は、「npm install」実行環境の隔離(コンテナ化)と、package.jsonの依存関係自動更新機能の無効化を即座に実施すべきだ。
参照元
4. Driftからの2.85億ドル窃盗:Durable Nonceを悪用したDPRK攻撃
概要
SolanaベースのDeFiプロトコル「Drift」が、北朝鮮に関連する攻撃者により2億8500万ドルの暗号資産を窃取された。攻撃者は「Durable Nonce」というSolanaのトランザクション承認メカニズムを悪用し、ソーシャルエンジニアリングにより署名鍵を取得。驚異的な速度(10秒)で資金を流出させた。
考察
この事件は、暗号資産インフラに対する国家レベルの脅威が、従来の「スマートコントラクトの脆弱性悪用」から「人為的な鍵管理の侵害」+「プロトコル特有の機能悪用」へと進化したことを示している。
Durable Nonceは、オフライン署名やマルチシグの代替として利用されるSolanaの機能だが、攻撃者はこれを「即座の承認と不可逆な転送」に悪用した。対策として、DeFiプロジェクトは「マルチシグウォレット」だけでなく、地理的分散+ハードウェアセキュリティモジュール(HSM)による鍵管理を必須とすべきだ。さらに、資金移動に関する「タイムロック(Timelock)」の導入により、10秒での即座流出を物理的に防止する技術的制約を設けることが重要だ。
企業投資家や個人ユーザー側の対策として、「完全許可型(permissioned)」ではないDeFiプロトコルへの投資額の制限と、異常な大額送金に対する「サーキットブレーカー(自動停止機能)」の有無を事前に確認することが求められる。今回の攻撃は、技術的脆弱性ではなく「運用セキュリティ(OpSec)」の失敗が起因しているため、「コード監査済み」ラベルだけでの信頼は絶対に避け、緊急時の資金凍結プロシージャの存在確認を必須とすべきである。
参照元
5. TrueConfゼロデイ:アジア政府機関を標的とした中国APT攻撃
概要
中国の脅威アクターが、ビデオ会議プラットフォーム「TrueConf」のゼロデイ脆弱性を悪用し、アジアの政府機関を攻撃している。脆弱性は特権昇格と追加ペイロードの実行を可能とし、標的型攻撃の初期侵入点として利用されている。
考察
ビデオ会議システムへの攻撃は、COVID-19以降、リモートワークの定着と共に「標的型攻撃の新たなフロンティア」となっている。TrueConfは主にアジア・ロシア地域で利用されるプラットフォームだが、「ニッチなソフトウェアのゼロデイ」は、広く使われるZoomやTeamsよりも検知されにくいという攻撃者の打算が見える。
政府機関や重要インフラを運用する組織は、**「ビデオ会議クライアントの分離」**を即座に実施すべきだ。業務用端末に直接インストールするのではなく、専用のサンドボックス化されたVDI(仮想デスクトップ)環境で利用するか、少なくともブラウザベースのWebクライアントのみを許可し、デスクトップアプリケーションのインストールを禁止すべきである。
技術的洞察として、ビデオ会議ソフトは通常「画面共有」「カメラ・マイクアクセス」「ファイル転送」といった強力な権限を持つため、脆弱性を悪用された場合の影響が大きい。アプリケーションのホワイトリスト制御と、ビデオ会議トラフィックの専用ネットワークセグメント分離は、ゼロデイへの対応として有効な緩和策となる。中国APTの標的が「政府機関」であることから、**「供給元(ベンダー)の所在国リスク」**もセキュリティ評価の重要要素として再評価されるべきだ。
参照元
まとめ
本日のニュースは、**「国家支援型攻撃のインフラストラクチャ化」という明確なトレンドを示している。北朝鮮は従来の銀行攻撃・暗号資産窃盗に加え、npmパッケージのメンテナを標的とする「開発者への接近」を開始し、中国はビデオ会議という「コミュニケーションの中枢」**を狙撃している。
特に注目すべきは、「人的要素」と「技術的脆弱性」の融合だ。欧州委員会の事例では開発者ツールの侵害が行政機関のクラウド侵害に繋がり、Driftの事例ではソーシャルエンジニアリングが暗号資産の即座流出に繋がった。これは、技術的対策だけでは防ぎきれない**「信頼の連鎖」の脆弱性**を突いた攻撃と言える。
今後の注視ポイントは以下の3点だ:
- 「Developer Security」:npm、PyPI、Dockerなどの開発者ツールが国家攻撃の主戦場となっており、SBOM(ソフトウェア部品表)だけでなく、「人的サプライチェーン」のリスク管理が必要
- 「Cloud Identityの再定義」:AWS APIキーなどの「長期認証情報」は、侵害された場合の影響範囲が極めて大きいため、短期的なトークン(STS)の強制と、**「キーの使用パターン分析」**による異常検知の導入
- 「DeFiの伝統的金融規制との融合」:2.85億ドルという国家予算規模の資金が10秒で消失する現状は、**「緊急時の資金凍結メカニズム」**と「取引の不可逆性」の技術的バランス再検討を迫られる
組織は、単なる「パッチ管理」から「サプライチェーン全体の信頼検証」へと、セキュリティ戦略のパラダイムシフトを急ぐべき時期に入っている。
参照元
- CERT-EU: European Commission hack exposes data of 30 EU entities →
- Critical ShareFile Flaws Lead to Unauthenticated RCE →
- UNC1069 Social Engineering of Axios Maintainer Led to npm Supply Chain Attack →
- Drift Loses $285 Million in Durable Nonce Social Engineering Attack Linked to DPRK →
- TrueConf Zero-Day Exploited in Asian Government Attacks →