米国とカナダの政府機関は2025年12月4日、BRICKSTORMと呼ばれる新たなバックドア型マルウェアについて詳細な分析結果を公表し、注意喚起を行いました。関与が疑われているのは中国(PRC)政府支援の攻撃グループで、政府機関やIT企業などのネットワークに長期間潜伏するサイバースパイ活動で本マルウェアを悪用していたとされています。
この分析は、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国家安全保障局(NSA)、カナダ・サイバーセキュリティセンター(Cyber Centre)が共同で公開したマルウェア分析レポートに基づくものです。
目次
BRICKSTORMとは
BRICKSTORMは、Go言語で実装されたバックドアで、主にVMware vSphere環境(vCenterサーバやESXi)を標的とすることが確認されています。CISAらの分析では、入手したサンプルはいずれもLinux向けELFバイナリで、仮想化基盤上に密かに常駐し、攻撃者に長期的なリモート操作機能を提供していました。
被害報告では、標的となった組織は主に以下の分野とされています。
-
政府サービス・公共施設分野
-
情報技術(IT)分野
一部報告では、Windows版とみられる亜種の存在も指摘されており、仮想化基盤と周辺のWindowsサーバの双方を組み合わせて悪用している可能性があります。
脅威インテリジェンス企業SOCRadarのCISOは、このキャンペーンについて、OSや個々のアプリケーションではなく、仮想化レイヤそのもの、特にvCenterといった管理コンソールを狙っている点を問題視しており、管理基盤が乗っ取られた場合、攻撃者は多数の仮想マシンを一括して監視・操作できると指摘しています。
標的はVMware vSphere環境 スナップショット窃取や隠しVM作成も
CISAらの分析によると、中国系攻撃者はVMware vSphereプラットフォームに特に注目しており、vCenter管理コンソールへのアクセスを足掛かりに次のような行為を行っていました。
-
仮想マシンのスナップショットを窃取し、中に含まれる資格情報を解析
-
管理者に気付かれない隠しVM(ローグVM)の作成
-
仮想基盤内の他のシステムへ横展開し、ネットワーク全体に持続的なアクセスを構築
BRICKSTORM自体は、侵入後の常駐・遠隔操作のためのバックドアとして機能し、仮想化基盤上で長期間にわたり活動を継続できるよう設計されています。
CISAがインシデント対応を行った被害組織では、攻撃者は2024年4月に内部ネットワークへ侵入し、同年4月中にvCenterサーバへBRICKSTORMを配置、その後2025年9月3日までの期間にわたって持続的なアクセスを維持していたと報告されています。
侵入の流れ:DMZのWebサーバからAD、vCenterへ
CISAのマルウェア分析レポートでは、少なくとも一つの被害事例について、侵入から横展開までの流れが次のように整理されています。
DMZ上のWebサーバ侵害
-
DMZ内のWebサーバにWebシェルが設置され、そこから攻撃者が侵入
-
Webシェルがどのように設置されたかは不明
サービスアカウントによる横展開
-
Webサーバから、サービスアカウントの認証情報を用いてRDPでDMZ内のドメインコントローラへ移動
-
Active Directoryデータベース(ntds.dit)がコピーされ、認証情報が窃取
内部ネットワークへの侵入拡大
-
別のサービスアカウントの認証情報を用いて、内部ネットワーク側のドメインコントローラへRDPで移動
-
管理サービスプロバイダ(MSP)アカウントの認証情報を取得
vCenter・ADFSへのアクセス
-
MSPアカウントを用いて、内部のvCenterサーバへアクセス
-
別ルートで、SMBを用いてジャンプサーバやADFSサーバへ横展開し、ADFSサーバから暗号鍵をエクスポート
BRICKSTORMの設置
-
vCenterサーバ上で権限昇格を行い、/etc/sysconfig/ ディレクトリにBRICKSTORMを配置
-
起動処理を担うinitファイルを書き換え、システム起動時にBRICKSTORMが自動実行されるよう設定
このように、攻撃者はまずDMZのWebサーバを足掛かりにし、サービスアカウントの認証情報を悪用してドメインコントローラやADFSサーバ、vCenterなど基盤的なシステムへ段階的に侵入を広げていました。
BRICKSTORMの機能:自己監視、パス改ざん、SOCKSプロキシなど
CISAが分析した8つのサンプルはいずれもGo言語で書かれたELF形式のバックドアで、細部は異なるものの、共通して以下の機能を備えていたと報告されています。
初期化と自己複製
-
実行時に環境変数や実行パスを確認し、自身が想定どおりの状態で動作しているかを判定
-
想定外のパスから実行されている場合は、/etc/sysconfig/ や /usr/java/jre-vmware/bin/ などの特定パスに自分自身をコピー
-
PATH環境変数を書き換え、正規コンポーネント名に偽装したBRICKSTORMが優先的に実行されるようにする
-
例:vmware-sphere、updatemgr、vami など、VMware関連コンポーネントを思わせる名称
-
永続化(自己監視機能)
-
自己監視用の関数を持ち、特定の環境変数やプロセスの有無を定期的に確認
-
期待される状態でないと判断した場合は、あらかじめ決められた場所から自身を再インストールし、再度PATHを書き換えた上で新しいプロセスとして起動
-
これにより、外部からの一時的な停止やファイル削除が行われても、再度立ち上がる挙動が確認されています。
通信の秘匿とC2機能:DoH、WebSocket、SOCKSでの横展開
BRICKSTORMは、コマンド・コントロール(C2)通信の秘匿性を高めるために複数の仕組みを組み合わせています。
DNS-over-HTTPSによるC2ドメイン解決
-
C2サーバのIPアドレスを直接持たず、ハードコードされたドメイン名を、DNS-over-HTTPS(DoH)経由で解決
-
Cloudflare、Google、Quad9、NextDNSなどの正規DoHリゾルバへのHTTPSリクエストを使用
-
一部サンプルでは、DoH用IPアドレス自体もXOR暗号化した状態でコード内に埋め込み、静的解析を困難に
HTTPS+WebSocket+TLSの多層暗号化
-
まず正規クラウドサービスへのHTTPS接続を確立し、その上でHTTPヘッダによるアップグレードを用いてWebSocket Secure(WSS)セッションへ切り替え
-
WebSocketトンネル内部でさらにTLSハンドシェイクを行い、入れ子になったTLS層を形成
-
マルチプレクサ(smuxやYamux)を用いて、単一の暗号化チャネル上に複数の論理ストリームを多重化し、ファイル転送・SOCKSトンネル・シェルセッションなどを一体化
ファイル操作とSOCKSプロキシ
CISAの分析によれば、BRICKSTORMには以下のようなファイル操作用APIコマンドが実装されています。
-
list-dir:ディレクトリ一覧の取得
-
get-file:被害端末からC2へのファイルダウンロード
-
put-file:C2から被害端末へのファイルアップロード
-
delete-file / delete-dir:ファイル・ディレクトリの削除
-
file-md5:ファイルのMD5チェックサム計算
-
slice-up:ファイルの一部分のみ読み出して送信
また、一部サンプルにはSOCKSプロキシ機能が含まれており、攻撃者は被害端末を踏み台として内部ネットワークへのトンネルを張り、他のホストへの横展開や追加侵害を行える状態になっていました。
仮想環境に特化した機能:VSOCKによるVM間通信
CISAが分析したサンプルのうち7番と8番は、特に仮想環境を意識した設計になっていました。
-
VSOCK(Virtual Socket)インタフェースを利用し、仮想マシン間やホストとの間での通信を実現
-
VSOCKプロキシ機能により、特定のコンテキストID(CID)とポートにバインドし、仮想環境内で密かにトンネルを構築
-
この仕組みにより、通常のネットワーク監視では検知しづらい経路でデータの送受信や横展開を行うことが可能
さらに、これらのサンプルでは、自己署名証明書とRSA鍵をメモリ上で動的生成し、ディスクに証明書ファイルを残さない形でTLS通信を行うなど、痕跡を最小化する工夫も見られています。
攻撃キャンペーンの期間と特徴
CISAがインシデント対応を行った組織では、攻撃者は2024年4月に最初の侵入を成功させ、2025年9月3日までの約1年半にわたってネットワーク内で持続的な活動を行っていました。
別の調査では、同じBRICKSTORMファミリーと見られるマルウェアが、米国の法律事務所、テクノロジー企業、ビジネスアウトソーシング企業などを標的にしたスパイ活動でも確認されており、中国政府系グループによる長期的な情報窃取キャンペーンの一環とみられています。
CISAなどが公開した検知手段とハンティングリソース
CISA、NSA、カナダ・サイバーセキュリティセンターは、BRICKSTORMの検知に向けて次のような情報を公開しています。
-
IOC(インジケータ)
-
ハッシュ値、C2通信に利用されたDoHエンドポイント、ファイルパス、プロセス名などを含むSTIX形式ファイル
-
-
YARAルール
-
Go製BRICKSTORMサンプルを特定するための複数ルール
-
-
Sigmaルール
-
vCenterログにおけるVMのクローン・削除操作、不審なREST API呼び出し、DoHエンドポイントへのアクセスなどを組み合わせた検知ロジック
-
加えて、外部のセキュリティベンダからも次のようなリソースが公開されています。
-
MandiantによるBRICKSTORM向けYARAルールとIOCスキャナ
-
NVISOによるWindows版亜種の詳細分析と検知ルール
-
CrowdStrikeのVirtualGHOSTスクリプト(未登録VMの検出に利用可能)
CISAは、これらのシグネチャを用いたスキャンでBRICKSTORMや類似活動が確認された場合、直ちに所管当局やCISAへ報告し、インシデント対応プロセスに移行するよう求めています。
推奨される対策:仮想化基盤を「重要インフラ」として扱う
CISA、NSA、カナダ・サイバーセキュリティセンターは、BRICKSTORMに関連した活動を踏まえ、次のような対策を推奨しています。
VMware vSphere環境の更新とハードニング
-
vCenterやESXiを含むvSphere環境を最新バージョンへ更新
-
ベンダが提供するハードニングガイドに基づき、不要サービスの無効化やログ収集の強化を実施
DMZと内部ネットワークのセグメンテーション強化
-
DMZから内部へのRDPおよびSMBを原則禁止
-
必要な場合も、限定されたジャンプホストと多要素認証を組み合わせた経路に限定
サービスアカウントの管理強化
-
最小権限原則に基づき、サービスアカウントの権限を業務上必要な範囲に限定
-
定期的な利用状況のモニタリングと、異常なログインや時間帯外アクセスの検知
DNS-over-HTTPS通信の監視・制御
-
組織が許可していない外部DoHプロバイダへのアクセスをブロック
-
プロキシやDNSログを用いて、不審なDoH通信を検知
仮想化レイヤを最重要資産として扱う運用体制
-
vCenterやハイパーバイザ管理インタフェースを、ドメインコントローラと同等の「Tier 0」として扱い、アクセス経路・アカウントを厳格に管理
-
仮想基盤のログ(vCenterログなど)をSIEMに集約し、今回公開されたSigmaルール等で継続的にハンティング
参照








