中国APTグループがEDR 監視外のEgnyte・pfSense・Synology NASにBRICKSTORMを展開|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月11日更新日時: 2026年06月11日

2026年6月4日、米国バージニア州のサイバーセキュリティ企業Volexityは、中国の脅威アクターグループ「VerdantBamboo」（他ベンダーの別名：WARP PANDA・UNC5221）によるインシデントレスポンス事案の詳細報告書を公開しました。

最大のリスクは潜伏期間の長さと手法の巧妙さにあります。被害組織のネットワーク上でVerdantBambooが最初に侵害を行ったのは、Volexityが調査を開始した2025年9月の少なくとも18か月前——すなわち2024年春頃と推定されており、その間ずっと検知を免れていました。

今回の事案で特に注目すべき3点があります。

第一に、VerdantBambooは一般的なWindowsエンドポイントではなく、Egnyte Storage Syncシステム・pfSenseファイアウォール・Synology NASというEDR（エンドポイント検出・応答）の監視が及ばないアプライアンスのみを標的にすることで長期潜伏を実現しました。

第二に、被害組織だけでなくMSP（マネージドサービスプロバイダー）が18か月以上前から同様に侵害されており、MSPを踏み台に被害組織に侵入した可能性がVolexityによって確認されました。

第三に、追い出された後もVerdantBambooはわずか数日後に盗んだ管理者認証情報でファイアウォールにログインし直し、独自VPNを設定して再侵入に成功しています。本記事では攻撃チェーン・3種のマルウェアファミリーの技術詳細・M365 Conditional Accessバイパスの手口・防御側が今すぐ取るべき対応を解説します。

サマリー

2026年6月4日、Volexity公式ブログが「VerdantBamboo: Just Another BRICKSTORM in the Firewall」を公開（著者：Damien Cash・Paul Rascagneres・Steven Adair・Tom Lancaster）
脅威アクター：VerdantBamboo（別名 WARP PANDA・UNC5221）——中国帰属と評価、CISA・Google Cloud・NVISOが過去に言及
攻撃の標的：Egnyte Storage Syncシステム・pfSenseファイアウォール・Synology NAS——すべてEDR非対応のアプライアンス
潜伏期間：最初の侵害から少なくとも18か月以上にわたり検知を免れた
MSPサプライチェーン侵害：被害組織のMSP（マネージドサービスプロバイダー）のpfSenseファイアウォールも18か月以上前からBRICKSTORMで侵害されており、MSP経由で被害組織に侵入した可能性（中確度）
M365 Conditional Accessバイパス：BRICKSTORMのSOCKS5プロキシ機能を通じ、侵害アプライアンスから正規トラフィックに偽装してMicrosoft 365に接続
マルウェア3種：
- BRICKSTORM（Golang/Rust製・主要インプラント）：WebSocket C2・SOCKS5プロキシ・ファイルサーバー・シェル実行
- AGENTPSD（Python/PyInstaller製・新規）：月次cronで起動するフォールバック用リバースシェル
- PLENET（.NET Native AOT製・新規、別名GRIMBOLT）：解析困難な次世代バックドア・SynologyNASに展開
再侵入：追い出し後に盗んだ管理者認証情報でファイアウォールに直接ログインし独自VPNを設定——MFA未設定が直接の原因
Egnyte Storage Sync v13.13でsudo権限昇格の脆弱性が修正済み（Volexityが通報）

1 VerdantBambooとは—EDR回避を戦略の核心に置く中国国家支援APT
2 攻撃チェーンの全体像—Egnyte侵害からMSP発覚・再侵入まで
3 BRICKSTORMとは—メインインプラントの技術詳細
4 AGENTPSD—フォールバック用のシンプルなPythonリバースシェル（新規マルウェア）
5 PLENET（別名GRIMBOLT）—.NET Native AOTによる解析困難な新型バックドア
6 Microsoft 365 Conditional Accessバイパス—プロキシで正規トラフィックに偽装
7 情報システム担当者・CISOが取るべき対応
8 FAQ
9 参考情報

VerdantBambooとは—EDR回避を戦略の核心に置く中国国家支援APT

VerdantBambooはVolexityが追跡する中国帰属の国家支援脅威アクターで、他の主要ベンダーは同グループをWARP PANDA（CrowdStrike系）またはUNC5221（Mandiant系）として追跡しています。CISAとGoogle Cloud、NVISOが過去にBRICKSTORMマルウェアに関する公開レポートを発表していますが、今回のVolexityの報告は侵害の完全な攻撃チェーンと新規マルウェア2種を初めて詳述するものです。

VerdantBambooの最大の特徴は作戦上のセキュリティ規律（OpSec）にあります。

Volexityは「このグループは被害者ごとに限られた数のドメインとIPアドレスのみを使用し、デバイスごとにカスタマイズされたインプラント名と永続化メカニズムを設定するという意識的な行動パターンを持つ」と評しています。そしてその中核的な戦術はEDRソフトウェアが動作しない、または動作させることができないシステムをすべての侵害の足場として選択するという一点に集約されます。

攻撃チェーンの全体像—Egnyte侵害からMSP発覚・再侵入まで

Volexityの詳細報告が明らかにした攻撃の流れは3フェーズで構成されます。

フェーズ1：Egnyte Storage Syncへの侵害（2024年春頃〜）

被害組織のネットワーク上に設置されたEgnyte Storage Sync（ローカルファイルとクラウドを同期するLinuxベースの仮想アプライアンス）が、VerdantBambooに少なくとも18か月前から侵害されていました。攻撃者はデフォルトアカウントegnyteserviceの認証情報をMSPから窃取し、SSHでアクセスしました。

重要な権限昇格：Egnyteのsudo設定に意図しないローカル権限昇格が存在していました。

Cmnd_Alias EGNYTEAPPS = /usr/local/bin/egnyte/rsync_data_migration.sh, /usr/bin/tee, ...
egnyteservice ALL = PASSWD: EGNYTEAPPS

teeコマンドをroot権限で実行できるため、攻撃者はsudo teeを使ってファイルシステム上の任意の場所にファイルを書き込むことができました。この手法でBRICKSTORMを/usr/sbin/に配置。クロンエントリ（/etc/cron.d/ssync）を使って実行後、痕跡を削除するという行動をとっていました。この脆弱性はVolexityがEgnyteに報告し、Storage Sync v13.13で修正済みです。

フェーズ2：MSP侵害の発覚（調査中に判明）

調査の過程でVolexityは被害組織のMSPも調査し、MSPのpfSenseファイアウォール（FreeBSD系オープンソースファイアウォール）にBRICKSTORMのFreeBSD互換バリアントが展開されていることを発見しました。このファイアウォールも18か月以上前から侵害されており、複数の脅威アクター（ウェブシェル・暗号資産マイナー・別VPN設定）による侵害跡も確認されています。Volexityは「MSPがVerdantBambooに侵害されていたことが被害組織の侵害の起点となった可能性が中程度（medium confidence）にある」と評価しています。

フェーズ3：追い出し後の再侵入（Storage Sync・SSL VPN停止の数日後）

Volexityが被害組織からVerdantBambooを追い出した数日後、Synology NASデバイスが以前と同じC2ドメインにビーコンを送信していることが検知されました。調査の結果、MSPがSSL VPNをオフラインにした際に被害組織のファイアウォールの管理インターフェースが偶発的にインターネットに公開された状態になっており、VerdantBambooが盗んだ管理者認証情報（MFA未設定）でそこに直接ログインし、独自のSSL VPNを設定して再侵入していたことが判明しました。この再侵入でSynology NASにPLENETが展開されました。

BRICKSTORMとは—メインインプラントの技術詳細

BRICKSTORMはGolang（初期バージョン）とRust（後継バージョン）で書かれたVerdantBambooの主要マルウェアです。

独自のwssoftパッケージ（後の変種ではwsshell）にモジュール化されており、ターゲットに応じて必要な機能のみを組み込むカスタマイズ設計が特徴です。これによりMandiant（NVISO）とVolexityで報告される機能セットが異なる理由が説明されます。

C2通信：WebSocketプロトコルを使用。CloudflareのIPアドレス（実サーバーIPを隠蔽）配下のドメインに接続。DNS over HTTPS（DoH、Google 8.8.8.8）を使用してDNSクエリのトラフィックを隠蔽します。これにより通常のDNSログにはドメインの問い合わせが残りません。

3つのタスクモジュール（今回確認分）：

機能	説明
command	リモートシェルコマンド実行クライアント
socks	SOCKS5プロキシサーバー（M365 Conditional Accessバイパスに悪用）
web	ファイルシステム情報を表示するウェブサーバー

pfSense上のFreeBSDバリアント：gobfuscateバイナリ難読化ツールで保護。/usr/local/libexec/ipsec/にblacklistという名前で設置、/etc/rc.d/cronに1行追加して永続化。

Censysによるインフラ特定：Volexityは以下のCensysクエリでBRICKSTORM C2サーバーを検出。

host.service_count<=4 AND 
host.services:(banner_hash_sha256:"e28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0" AND port=443) AND 
host.services.cert.parsed.issuer.organization="CloudFlare, Inc." AND 
host.services:(port=22 AND software.vendor:openbsd)

注目すべきことに、このクエリの公開から数日後（2025年9月18〜23日）にマッチしていたすべてのサーバーがポート443のサービスを停止しました。2025年9月24日のGoogle CloudのBRICKSTORMブログ公開が起点の可能性がありますが、VerdantBambooが調査を察知してTTPを変更した可能性（低確度）があるとVolexityは評価しています。

AGENTPSD—フォールバック用のシンプルなPythonリバースシェル（新規マルウェア）

AGENTPSDはPythonで書かれてPyInstallerでバイナリにコンパイルされた軽量なリバースシェルユーティリティです。Volexityが発見した新規マルウェアファミリーで、VirusTotalへのサンプルアップロードも確認されていませんでした。

動作の概要：BRICKSTORMが停止・除去された場合のフォールバックとして、毎月15日の14時20分（UTC）に/etc/crontabからrootとして起動するように設定されていました。実際には分析した期間中に一度も使用された形跡はなく（BRICKSTORMが常に稼働していたため）、フォールバックとして機能していました。

C2通信はHTTPS POST要求で行われ、Base64エンコード（最初の1文字をスキップするという特徴的な変形）を使用したシステム情報をリクエストヘッダーに含めます。レスポンスからハードコードされたパターンPoRaSGw3jzQ8YSazを検索し、そこからコマンドを取得します。C2ドメインはパッシブDNSデータで一度もIPアドレスに解決した記録がなく、機能していなかった可能性があります。

ファイル詳細	値
ファイル名	egnyte_host_monitor_client
ファイルサイズ	6.4MB
SHA256	ee41e06ed96182ce80cd4544a6abd5d7719c4a5c0e5ddb266a83842d39b99b0a

PLENET（別名GRIMBOLT）—.NET Native AOTによる解析困難な新型バックドア

PLENETはBRICKSTORMと並んで今回新規に文書化されたより高度なバックドアです。C#（.NET Core）で開発され、.NET 7で追加されたNative AOT機能でスタンドアローンバイナリにコンパイルされています。Synology NASに展開されたこのマルウェアを、Google Cloudは別報告で「GRIMBOLT」と命名していましたが、Volexityはこれが同一マルウェアであることを確認しました。

解析を困難にするNative AOT：通常の.NETはIL（中間言語）として配布されてJITコンパイルされますが、Native AOTはすべての.NETランタイムと依存関係を1つのバイナリに埋め込みます。これにより逆エンジニアリングツールのサポートが未熟で、マルウェア解析が大幅に複雑化します。さらにNative AOTの「データハイドレーション」機能で静的データが圧縮され、Ghidraのghidra-nativeaotプラグインでようやく解析が可能でした。

設計の類似性：PLENETはBRICKSTORMと共通した設計パターンを持ちます——WebSocketプロトコル・Nerdbank.Streamsを使ったストリーム多重化・.NET Taskオブジェクトによる非同期処理。ただしコマンド処理プロトコルはBRICKSTORMより従来型の単一ディスパッチャーを採用しています。

確認された機能：インタラクティブシェル・リモートコマンド実行・ファイル操作・C2サーバー切り替え。

ファイル詳細	値
ファイル名	ovs-dbctl
ファイルサイズ	2.5MB（UPXパック）
SHA256	eb141a43958802727a6c813452450c10b92704bea4474ee5fd87c0a1be326e2e

Microsoft 365 Conditional Accessバイパス—プロキシで正規トラフィックに偽装

今回の事案で明らかになった最も重要な戦術の一つが、BRICKSTORMのSOCKS5プロキシ機能を使ったM365 Conditional Accessポリシーのバイパスです。

多くの組織はAzure AD Conditional Accessで「企業ネットワーク（または承認済みIPアドレス）以外からのM365アクセスを拒否」するポリシーを設定しています。VerdantBambooは侵害したStorage Syncシステム（企業ネットワーク内に存在）をSOCKS5プロキシとして使用し、そこを経由してM365に接続することで「正規の企業ネットワークからのトラフィック」に偽装しました。Conditional Accessは送信元IPが企業のIPレンジ内のため通過を許可します。

これはVPN・ZTNA・Conditional Accessが正しく設定されていても、ネットワーク内の侵害されたアプライアンス1台がプロキシとして機能すれば完全に無効化できることを示しています。

情報システム担当者・CISOが取るべき対応

EDR監視の対象を「すべてのデバイス」に拡大：VerdantBambooの戦術の核心は「EDRが動かないデバイスだけを使う」です。pfSense・NAS・ストレージアプライアンス・VPN機器の異常なトラフィックを監視する仕組みを構築することが必須です。Syslogのネットワーク転送とNetFlowの分析が現実的な第一歩です。

すべての特権アカウントにMFAを強制：ファイアウォール管理インターフェース・VPN管理・NASのSSH接続に対してもMFAを必須化してください。今回の再侵入はMFAが設定されていれば防げた可能性があります。

MSPのアクセス・認証情報の管理：MSPが管理するシステムのアクセスログを定期的に確認し、MSPのアクセス方法（SSH vs Webインターフェース）と実際の使用パターンの乖離を監視してください。MSPの侵害が自社侵害の起点になるサプライチェーンリスクを認識してください。

sudo設定の定期的な監査：Linux系アプライアンスの/etc/sudoersに意図しない権限昇格パスが存在しないかを確認してください。今回のteeコマンドの事例のように、一見無害に見えるコマンドが任意ファイル書き込みに悪用されることがあります。

ログ保存期間の延長（少なくとも18か月）：今回の事案で侵害の全体像の把握が困難だった主要因の一つは、ログが18か月分保存されていなかったことです。特にVPN接続ログ・ファイアウォールのセッションログ・SSH認証ログは長期保存が必要です。

DNS over HTTPSの監視：8.8.8.8へのTLS接続はDNS over HTTPSの可能性があります。通常業務で不要な端末からのDNS over HTTPS通信は検知対象に含めてください。

FAQ

Q. VerdantBambooはどのような組織を標的にしていますか？ A. Volexityの過去の報告やCISA・Google Cloudの分析によれば、VerdantBambooは西洋の民間企業・政府関連機関・インフラ事業者を対象とする国家支援型の諜報目的のAPTグループです。今回の具体的なターゲット業種はVolexityの顧客守秘義務のため非公開ですが、過去のUNC5221/WARP PANDAの事例ではIvanti Connect Secure等のVPN機器への攻撃が報告されています。

Q. BRICKSTORMは過去の事案で言及されていましたか？ A. はい。2025年9月のGoogle Cloud（GREMBOLTの元となった研究）、2025年10月のF5のセキュリティ開示後の顧客向けガイド、NVISOおよびCISAが過去に言及しています。ただし今回のVolexityの報告は、完全な攻撃チェーン・MSPサプライチェーン侵害・PLENET/AGENTPSDという新規マルウェアを初めて一つのレポートで統合した文書です。

Q. 日本の組織にも同様の攻撃が及ぶリスクはありますか？ A. pfSense・Synology NAS・Egnyte（またはその他のストレージ同期アプライアンス）を業務利用している組織は、EDRが動作しないという共通のリスクを持ちます。また日本でもMSP（IT保守管理会社）を経由したシステム管理が広く行われており、MSPのサプライチェーンリスクは日本企業にも直接当てはまります。Volexityはレポートの末尾で「同様の攻撃を受けた可能性のある組織は問い合わせてほしい」と呼びかけています。