2025年7月1日から3日にかけてマレーシアで開催されたNational Cyber Defence and Security Exhibition and Conference(CYDES)において、中国のセキュリティ企業Qianxin TechnologyのRedDripチームが、北米の高度持続的脅威(APT)グループ「NightEagle Group」(APT-Q-95)による中国への攻撃を発表した。
このグループは2023年から活動を開始し、Microsoft Exchangeの未知のゼロデイ脆弱性を悪用して中国の軍事組織および半導体メーカー、人工知能企業、量子技術企業、防衛請負業者から機密情報を窃取している。
攻撃では偽装ドメイン「synologyupdates.com」を使用し、オープンソースツール「Chisel」の改変版を4時間ごとに実行するスケジュールタスクとして配置した。攻撃者はExchangeサーバーの設定ファイルに保存されたmachineKeyを窃取し、組織内の全メールデータへのリモートアクセスを実現した。RedDripチームの分析により、この脅威アクターは北京時間の午後9時から午前6時の夜間に一致して活動しており、北米西海岸タイムゾーンに拠点を置くと推定される。Microsoftは調査中であるが、現時点で新たな脆弱性は特定されていないと回答している。
From: 
North American APT Uses Exchange Zero-Day to Attack China
【編集部解説】
今回のNightEagle(APT-Q-95)による攻撃は、従来のサイバー攻撃の構図を逆転させた極めて興味深い事例です。これまで中国系APTグループによる西側諸国への攻撃が頻繁に報告されてきましたが、今回は北米を拠点とする組織が中国の戦略的重要産業を標的とし、中国側からその詳細が公にされた極めて稀な事例となります。
この攻撃の技術的な特徴として注目すべきは、Microsoft Exchangeの未知のゼロデイ脆弱性を悪用した点です。攻撃者は正規のオープンソースツール「Chisel」を改変し、4時間ごとに自動実行されるスケジュールタスクとして配置しました。さらに、C2ドメインのDNS解決を通常時は99%の時間で無効化し、攻撃者が活動する際のみ有効化するという極めて高度なステルス技術を採用しています。
特に興味深いのは、攻撃者の活動時間が北京時間の午後9時から午前6時(中国の夜間)に厳格に限定されている点です。この時間帯は北米西海岸の日中勤務時間と一致しており、国家レベルの組織的な活動を示唆しています。従来の犯罪組織による金銭目的の攻撃とは明確に性格が異なる、戦略的諜報活動の特徴を示しています。
この事案が示すサイバー空間の現実は、従来の報道バランスの偏りを浮き彫りにしています。西側メディアの報道量や中国の情報統制により、中国系APTによる攻撃ばかりが注目されがちですが、実際には双方向の攻撃が行われているということが明らかになりました。
技術的な影響範囲を考えると、Microsoft Exchangeは世界中の企業で広く使用されているメールサーバーシステムです。2021年のHAFNIUM攻撃では、世界中の多数のExchangeサーバーが影響を受けた事例もあり、今回の未知の脆弱性も同様の規模で影響を与える可能性があります。
この攻撃手法の危険性は、machineKeyという認証システムの中核部分を窃取することで、組織内の全メールデータへのアクセスを可能にする点にあります。さらに、.NETローダーをInternet Information Services(IIS)に直接埋め込むことで、ファイルレスの永続化を実現している点も技術的に高度です。
長期的な視点では、この事案は国際的なサイバー規制の議論に新たな論点を提供するでしょう。これまで中国の攻撃的サイバー活動に対する批判が中心でしたが、今後は西側諸国の活動についても同様の議論が必要になる可能性があります。
また、Microsoft側の対応も注目すべき点です。同社は「現時点で新たな脆弱性は特定されていない」と回答していますが、調査は継続中としており、今後のパッチ提供や対策の発表が待たれます。企業にとっては、ゼロデイ攻撃に対する根本的な防御策の見直しが急務となっています。
【用語解説】
APT(Advanced Persistent Threat)
高度持続的脅威。国家や組織が長期間にわたって特定の標的に対して継続的に行う高度なサイバー攻撃。通常の犯罪目的とは異なり、機密情報の窃取や諜報活動を目的とする。
ゼロデイ脆弱性
ソフトウェアの脆弱性が発見されてから修正パッチが提供されるまでの期間(ゼロデイ)に悪用される脆弱性。攻撃者のみが知っており、防御側が対策を講じていない状態での攻撃に使用される。
machineKey
Microsoft Exchangeサーバーの設定ファイルに保存される暗号化キー。認証クッキーやセッショントークンなどの機密データの暗号化・検証に使用される重要なセキュリティ要素。
C2(Command and Control)
攻撃者がマルウェアに感染したシステムを遠隔操作するためのインフラストラクチャ。攻撃者からの指令を受信し、盗取したデータを送信する役割を担う。
DNS(Domain Name System)
インターネット上でドメイン名とIPアドレスを相互変換するシステム。攻撃者は偽装ドメインを使用して正規のサービスに見せかけることがある。
IIS(Internet Information Services)
Microsoftが開発したWebサーバーソフトウェア。Exchange ServerのWebアクセス機能を提供し、今回の攻撃では.NETローダーの埋め込み先として悪用された。
ファイルレス攻撃
ディスク上にファイルを残さず、メモリ上でのみ動作するマルウェアを使用した攻撃手法。従来のアンチウイルスソフトでは検出が困難。
VPS(Virtual Private Server)
仮想プライベートサーバー。物理サーバーを仮想化技術で分割した専用サーバー環境。攻撃者がC2インフラとして頻繁に利用する。
【参考リンク】
Qianxin Technology(奇安信)(外部)
中国を拠点とする大手サイバーセキュリティ企業。企業レベルおよび国家レベルのサイバーセキュリティソリューションを提供
Microsoft Exchange Online(外部)
Microsoftが提供するクラウドベースのメッセージングプラットフォーム。電子メール、カレンダー、連絡先、タスク機能を統合
米国サイバー司令部(USCYBERCOM)(外部)
米国国防総省の統合戦闘司令部の一つ。サイバー空間における作戦の指揮・調整を担当し、国家安全保障上のサイバー脅威に対処
米国国家安全保障局(NSA)(外部)
米国の情報機関の一つ。信号情報(SIGINT)の収集・分析とサイバーセキュリティ製品・サービスの提供を通じて国家安全保障を担う
Chisel(jpillora版)(外部)
TCP/UDPトンネリングツールのオープンソース実装。ファイアウォールを通過してセキュアなトンネルを作成するために使用
CYDES Malaysia(外部)
マレーシアで開催される国際的なサイバーセキュリティ展示会・会議。アジア太平洋地域の主要なサイバーセキュリティイベント
【参考記事】
“NightEagle” Hackers Exploit Fresh Microsoft Exchange Weakness(外部)
2025年7月4日公開。NightEagleグループの高速インフラ切り替え能力と北京時間夜間の活動パターンについて詳細に解説
NightEagle APT Exploits Microsoft Exchange Flaw to Target China’s Military and Tech Sectors(外部)
2025年7月10日公開。QiAnXin RedDripチームの発表内容を基に、NightEagleの攻撃手法と標的選定の詳細を報告
NightEagle APT Group Exploits Microsoft Exchange Zero-Day to Target China’s AI and Military Sectors(外部)
2025年7月10日公開。NightEagleの豊富な資金力とVPS・ドメイン購入能力、machineKey窃取による.NET deserialization攻撃の技術的詳細を分析
【編集部後記】
今回のNightEagle事案を通じて、私たちは「サイバー攻撃の双方向性」という新たな現実と向き合うことになりました。これまで一方的な被害者として語られがちだった西側諸国も、実は攻撃的な活動を行っているという事実は、皆さんにとってどのような意味を持つでしょうか。国際政治に関心をお持ちの方は、今後のサイバー規制や国際ルール作りがどう変化していくのか気になるところではないでしょうか。皆さんは今回の事案から、どのような課題や可能性を感じられましたか?
