SentinelOne、中国系 ハッカー グループからのサイバー攻撃と侵入未遂事件の詳細を発表

セキュリティニュース

投稿日時: 更新日時:

SentinelOne、中国系 ハッカー グループからのサイバー攻撃と侵入未遂事件の詳細を発表

2025年6月、SentinelOne(センチネルワン)は、中国系の国家支援型攻撃者(APT)による複数のサイバー攻撃を受けた実態と、それに対する防衛の詳細を公表しました。この記事では、同社が直面した攻撃の全容と、観測された二つの主要な脅威クラスター「ShadowPad」と「PurpleHaze」について解説します。

SentinelOneとは

SentinelOneは、米国に本社を置くエンドポイントセキュリティ企業で、AIによるリアルタイム脅威検知・防御を特徴とする次世代アンチウイルス(NGAV)やEDR(Endpoint Detection and Response)製品を提供しています。

多くのグローバル企業や政府機関に採用されており、エンドポイントに加え、クラウドやIoTなど多様な環境に対応した防御力を有することから、サイバー攻撃の最前線で多くのインシデント対応に従事してきました。

セキュリティ対策 製品メーカーが狙われるのか

セキュリティ企業は、他社の防衛を担う「守りの要」です。顧客のIT環境に深く入り込み、高度な可視性と防御機能を提供するその存在は、攻撃者にとってはまさに“価値の高い標的”となります。

なぜなら一社に侵入できれば、芋づる式に多くの企業にアクセスできる可能性があるためです。

SentinelOneは2024年後半から複数の攻撃を受け、その中には同社のサーバーに対するリモートスキャンや、従業員のハードウェアを扱う外部業者への侵入まで含まれていました。幸い、これらの試みは未遂に終わりましたが、その背後にいたのは、情報収集とスパイ活動を得意とする中国系APTグループでした。

世界中に広がった「ShadowPad」

「ShadowPad」と呼ばれる攻撃クラスターは2024年6月、南アジアの政府系IT機関に対する攻撃でその存在が明るみに出ました。

使用されたマルウェアは高度に難読化され、情報収集からデータの外部送信まで一連のスパイ活動を自動で実行。しかもその後、攻撃の範囲は急速に拡大し、製造業、金融、研究機関など世界中の70以上の組織が標的となりました。

この攻撃には、Check PointやFortinet製品など、複数のネットワーク機器に存在した既知の脆弱性を悪用して侵入の足掛かりとした形跡が確認されており、特にCheck Pointゲートウェイのn-day脆弱性は多くの侵入ケースで初期アクセスポイントとして悪用されたと見られます

SentinelOne自身も、関連業者が攻撃を受けたことで一時リスクに晒されましたが、自社インフラの徹底調査により、実害は確認されませんでした。

PurpleHaze:セキュリティ企業も標的に

「PurpleHaze」は、ShadowPadと連続する形で観測されたもう一つの脅威クラスターで、2024年10月に南アジアの同一政府機関への再侵入が確認されました。使用されたのはGOREshellというGo言語で実装されたバックドアで、reverse_sshベースのC2通信が特徴です。

また、同月にはSentinelOne自身のサーバに対するスキャン活動が実施され、同じインフラ構成が使われていたことから、同一の攻撃者または同インフラを運用する第三者の関与が示唆されました。

この一連のPurpleHaze関連攻撃では、Ivanti製品に存在するCVE-2024-8963およびCVE-2024-8190といった深刻な脆弱性が悪用され、公開前にゼロデイ攻撃に用いられたケースも報告されています。

2024年9月には、ヨーロッパの大手メディア企業への侵入もあり、同様のGOREshellとTHCツールが使用されたことから、これら一連の活動は同一または協力関係にある中国系攻撃者によるものと見られています。

日本を含む世界70ヶ国へ攻撃

中国系APTは、ShadowPadやGOREshellといったマルウェアを共有・再利用し、さらに「ORBネットワーク」と呼ばれる中継インフラを通じて攻撃基盤を変幻自在に構築します。

これにより、追跡や防御が困難になる上、攻撃の意図やグループの特定も複雑化していますが、SentinelLABSは、こうした攻撃の中で再利用されたSSHキー、ドメイン登録パターン、一致するサーバーフィンガープリントなどから、複数の攻撃が相互に関連している事と両方の脅威アクターが中国系のサイバースパイ活動を行っている事を突き止めました。

またそれぞれの活動クラスターは、2024 年 7 月から 2025 年 3 月の間に発生した、異なるターゲットへの部分的に関連性のある複数の侵入にまたがっています。被害者には、日本を含む、南アジアの政府機関、欧州のメディア組織、および幅広い分野の 70 を超える組織が含まれています。

インサイトと今後の防衛指針

今回の一連の分析から、以下の教訓が得られます

  • セキュリティベンダー自身の保護体制強化:内部資産だけでなく、過去に接点があった外部ベンダーの監視と連携も不可欠です。
  • 脅威インテリジェンスの共有強化:営業、採用、ITなどの非セキュリティ部門にも脅威情報を共有し、組織全体で早期発見と対応が可能な体制を構築。
  • サプライチェーン脅威モデルの再構築:APTは直接ではなく、周辺のサプライヤーを足掛かりに侵入するケースが増えています。

参照

https://www.sentinelone.com/labs/follow-the-smoke-china-nexus-threat-actors-hammer-at-the-doors-of-top-tier-targets/