中国系ハッカーがDellのゼロデイ脆弱性を悪用しサイバー攻撃(CVE-2026-22769)

セキュリティニュース

投稿日時: 更新日時:

中国系ハッカーがDellのゼロデイ脆弱性を悪用しサイバー攻撃(CVE-2026-22769)

Google(Mandiant/Google Threat Intelligence Group)は2026年2月18日、Dellの「RecoverPoint for Virtual Machines(RP4VM)」に存在するゼロデイ脆弱性(CVE-2026-22769、CVSS 10.0)が、中国(PRC)に結び付く疑いのある脅威クラスタ「UNC6201」によって実際に悪用されているとする調査結果を公表しました。

侵害対応(IR)案件の分析から、UNC6201は少なくとも2024年半ば以降、この欠陥を足掛かりに横展開や永続化を行い、マルウェア(SLAYSTYLE、BRICKSTORM、そして新たに確認されたバックドア「GRIMBOLT」)を展開していたといいます。

中国(PRC)系とされるUNC6201が「ゼロデイ」を継続悪用

Google側の分析では、UNC6201はエッジ機器(VPN集中装置など)を初期侵入に利用することで知られ、今回のRP4VM侵害でも、侵入経路の起点自体は未確定ながら、侵害後の活動としてラテラルムーブメント(横展開)/永続化/マルウェア展開が確認されたとしています。

またUNC6201は、別クラスタ「UNC5221」との重なりが指摘され、UNC5221は公的に「Silk Typhoon」として報告されたアクターと同一視されることがある一方、Googleは現時点で両者を同一とは断定していません。

関連:中国サイバー諜報組織「Silk Typhoon」の構成員、イタリアで逮捕 – COVID-19研究機関を狙った長期 サイバー攻撃の一端

影響を受ける製品とバージョン

Dellのセキュリティアドバイザリによれば、RecoverPoint for Virtual Machines(RP4VM)の「6.0.3.1 HF1より前」が影響を受け、未認証のリモート攻撃者が、ハードコードされた資格情報を知っていれば不正アクセスとrootレベルの永続化に至る可能性があるとされています。

さらにDellは、5.3 SP4、5.3 SP3、5.3 SP2、(おそらくそれ以前)も影響を受け得ると明記しています。

対策

Dellは、根本対応として6.0.3.1 HF1へのアップグレード、またはDellが提供する修復スクリプト(remediation script)の適用を推奨しています。

5.3系については、手順として5.3 SP4 P1→6.0 SP3へ移行した上で6.0.3.1 HF1へアップグレード、もしくは修復スクリプト適用の選択肢が示されています。Dellはまた、RP4VMは信頼された内部ネットワークでの運用(アクセス制御、FW、セグメンテーション)を前提としており、公開ネットワークでの利用を想定していない点も注意喚起しています。

脆弱性の中身

CVE-2026-22769は、RP4VM内のApache Tomcat Managerに関連する問題で、Googleは調査の過程で、Tomcatの設定ファイル(/home/kos/tomcat9/tomcat-users.xml)にadminユーザーのデフォルト(ハードコード)資格情報が存在することを特定しました。攻撃者はこれを利用してTomcat Managerに認証し、/manager/text/deploy から悪性WARファイルを投入、結果としてアプライアンス上でコマンド実行(root権限での実行に至り得る)に繋げたと説明されています。

関連:【2025年】ゼロデイ攻撃の事例

BRICKSTORMからGRIMBOLTへ置き換え、解析回避を強化

侵害された環境では、既存のBRICKSTORMバイナリが確認された後、2025年9月にGRIMBOLTへ置き換えられる動きが観測されました。GRIMBOLTはC#で実装され、.NETのNative AOT(実行時JITではなく事前にネイティブ化)を用いることで、リソース制約のあるアプライアンス上での性能確保と、静的解析の難易度を上げる狙いがあるとされています。永続化には、起動時に実行されるスクリプト(convert_hosts.sh)の改変などが用いられたといいます。

VMware環境への波及

Googleは、RP4VM侵害にとどまらず、VMware仮想基盤への侵害活動も観測しています。具体的には、ESXi上の既存VMに一時的なネットワークポート(Ghost NICs)を作成して内部やSaaSへピボットする手口、さらにvCenter側でiptablesによるSingle Packet Authorization(SPA)のような制御(特定の“合図”パケット後に短時間だけ別ポートへ通す等)も確認されたとしています。

ゼロデイ対策

まず、攻撃面を減らすことが重要です。アプライアンスや管理系コンソール(Tomcat Manager/vCenter等)は「原則インターネット非公開」にし、管理アクセスは踏み台・VPN・IP制限・FW・セグメンテーションで閉域化します。加えて、最小権限(管理者アカウントの常用禁止、不要な管理機能の無効化、運用アカウント分離)を徹底し、仮にゼロデイで入口を突破されても横展開しにくい構造にします。

次に、検知と封じ込めの即応性を上げます。

EDR/XDRやNDRでアプライアンス周辺の通信(未知C2、異常な外向き通信、管理系エンドポイントへの不審リクエスト)を監視し、重要ログ(Tomcat/OS/認証/管理操作ログ)を集中保管して改ざん耐性を持たせます。侵害の兆候(不審なWAR配置、起動スクリプト改変、iptablesの不審ルール、想定外のNIC追加など)をトリガに、即時隔離(ネットワーク遮断・資格情報ローテ・セグメント切替)できる手順を平時から整備しておくことが必要です

参照

From BRICKSTORM to GRIMBOLT: UNC6201 Exploiting a Dell RecoverPoint for Virtual Machines Zero-Day