【ITニュース解説】Chinese APT Deploys EggStreme Fileless Malware to Breach Philippine Military Systems

最近報じられたセキュリティニュースは、中国の高度な持続的脅威（APT）グループが、フィリピンの軍事関連企業を標的とし、EggStremeという名のこれまで知られていなかったファイルレスマルウェアフレームワークを用いてシステムを侵害したという内容である。この事件は、サイバー攻撃がいかに巧妙化し、検出が困難になっているかを示す典型的な事例だ。

まず、APT（Advanced Persistent Threat）という言葉について解説する。これは、国家の支援を受けた組織や高度な技術を持つ犯罪集団など、特定の標的に対して長期間にわたり、巧妙で持続的な攻撃を仕掛ける集団やその攻撃手法を指す。通常のサイバー攻撃は、金銭目的や愉快犯的なものが多いが、APTは情報窃取やシステムの破壊、国家機密の取得など、より高度で政治的・経済的な目的を持つことが多い。彼らは一度システムに侵入すると、発見されないように潜伏し、時間をかけて情報を収集したり、さらに深く侵入したりする特徴を持つ。今回の事例では、中国のAPTグループがフィリピンの軍事関連企業を標的としたことから、国家間の情報収集活動の一環である可能性が高い。

次に、この攻撃で使用された「EggStreme」というマルウェアフレームワークについて見てみよう。このマルウェアの最も注目すべき点は、「ファイルレス（Fileless）」であるという点だ。一般的にマルウェアというと、コンピュータのディスクに不正なファイルとして保存され、それが実行されることで被害が発生するものを想像するだろう。しかし、ファイルレスマルウェアはその名の通り、コンピュータのディスクにファイルとして痕跡を残さない。代わりに、メモリ上に直接悪意のあるコードを展開し、実行する。

なぜファイルレスであると検出が難しいのか。その理由は、多くのセキュリティソフトは、ディスク上に保存されたファイルのパターンや振る舞いを監視することでマルウェアを検出する仕組みになっているからだ。ファイルレスマルウェアはディスクに書き込まれないため、これらの従来の検出方法をすり抜けることが容易になる。コンピュータのメモリは揮発性であり、電源を切ると内容が消えてしまうため、攻撃の痕跡を完全に消去することも可能になる。これは、電源を切ると情報が失われるため、攻撃の痕跡を追跡したり、詳細な調査を行ったりすることが非常に困難になる状況を作り出す。今回のEggStremeは、このような巧妙な手口で「永続的な、目立たないスパイ活動（persistent, low-profile espionage）」を実現している。永続的とは、一度侵入したら簡単には排除されず、継続的にアクセスを維持できることを意味し、目立たないとは、検出されにくいことを意味する。

今回の攻撃は「多段階ツールセット（multi-stage toolset）」として機能する。これは、単一のプログラムで全ての攻撃を行うのではなく、複数のステップや異なるツールを組み合わせて攻撃を進行させることを意味する。まず初期侵入に成功すると、次に永続性を確保するための段階へ移行し、最終的に目的とする情報窃取やシステムの操作を行う、といったように、段階的に攻撃を深めていく。この手法により、各段階で異なる手法を用いることで、防御側が全体像を把握しにくくなる。

具体的な攻撃手法として、「悪意のあるコードをメモリに直接注入する（injecting malicious code directly into memory）」という技術が使われている。これは、既にコンピュータ上で合法的に動作しているプログラムのメモリ領域に、攻撃者が用意した悪意のあるコードを割り込ませて実行させる方法だ。これにより、正規のプログラムが不正な動作をするように見せかけたり、正規のプログラムの一部としてマルウェアを実行させたりすることができるため、システム監視ツールから見て異常な振る舞いとして検知されにくくなる。ファイルがディスクに存在しないため、ウイルススキャンなどでも見つけにくい。

さらに、「DLLサイドローディング（DLL sideloading）」という手法も用いられている。DLLとは「ダイナミックリンクライブラリ」の略で、WindowsなどのOSで多くのプログラムが共有して利用する共通の機能や部品をまとめたファイルのことだ。正規のソフトウェアが起動する際に、特定のDLLファイルを読み込むことが一般的だが、DLLサイドローディングは、この正規のDLLの代わりに、攻撃者が用意した悪意のあるDLLを意図的に読み込ませることで、マルウェアを実行させる手法である。攻撃者は、正規のアプリケーションが起動するパスに、正規のDLLと同じ名前の悪意のあるDLLファイルを配置したり、正規のアプリケーションがDLLを検索するパスの優先順位を悪用したりして、悪意のあるDLLを読み込ませる。これにより、正規のプロセスがマルウェアのペイロード（攻撃の本体）を実行することになるため、これもまた正規の動作に見えてしまい、検出が困難になる。

これらの高度な技術を組み合わせることで、EggStremeは検出を回避し、ターゲットシステム内で永続的に活動し続けることを可能にしている。今回の攻撃は、軍事関連という非常に機密性の高い情報を扱う企業が標的とされたことから、その影響は重大である。

システムエンジニアを目指す皆さんにとって、このようなニュースは単なる事件報告として聞き流すわけにはいかない。サイバーセキュリティの脅威は日進月歩で進化しており、従来のセキュリティ対策だけでは不十分な時代になっている。APT、ファイルレスマルウェア、メモリインジェクション、DLLサイドローディングといった高度な攻撃手法を理解し、それらに対する防御策や検出方法を学ぶことは、これからのシステム開発や運用において不可欠な知識となる。セキュリティは、特定の専門家だけが担う領域ではなく、全てのシステムエンジニアが意識すべき重要な要素なのだ。常に最新の脅威動向を把握し、システムの脆弱性を最小限に抑え、堅牢なシステムを構築・運用する能力が求められている。