1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. Google、中国系ハッカーグループの大規模な規模サイバー諜報活動を妨害-サイバー攻撃は政府機関も対象

Google、中国系ハッカーグループの大規模な規模サイバー諜報活動を妨害-サイバー攻撃は政府機関も対象

セキュリティニュース

投稿日時: 更新日時:

Google、中国系ハッカーグループの大規模な規模サイバー諜報活動を妨害-サイバー攻撃は政府機関も対象

Google Threat Intelligence Group(GTIG)とMandiantは2026年2月26日、通信事業者および政府機関を狙う世界規模のサイバー諜報キャンペーンを妨害したと発表しました。対象アクターはUNC2814で、GTIGは2017年以降追跡しているPRC(中国)系とみられる集団だとしています。

この妨害では、攻撃者が管理していたGoogle Cloudプロジェクトの停止、UNC2814の既知インフラの無効化、C2に悪用されていたGoogle Sheets APIアクセスの取り消し、2023年以降に使われたIOCの公開などが実施されたと説明されています。

概要

GTIGの調査では、2026年2月18日時点で42か国53の被害(侵害)を確認し、さらに少なくとも20か国で感染疑いを把握したとしています。通信事業者を中心に、今回のキャンペーンでは政府機関も標的になったとされます。

報道ベースでは、UNC2814はGalliumとも呼ばれ、Google Sheetsを使って通常通信に紛れやすい形で活動していた点が強調されています。Googleは、これはGoogle製品の脆弱性悪用ではなく、正規機能の悪用だと説明しています。

原因

今回の中核は、クラウド上の正規APIをC2(司令・通信)に転用する手口にあります。

GTIGは、攻撃者がSaaSアプリへのAPI呼び出しをC2として利用し、悪性トラフィックを正規の通信に見せかける戦術を用いたと述べています。脆弱性を突くのではなく、クラウドサービスが正しく動作すること自体を隠れみのにするため、境界の監視やURLフィルタだけでは見落としやすい構図になります。

攻撃の流れ

Mandiantの調査で最初に検知されたのはCentOSサーバ上の不審なプロセスで、/var/tmp/xapt がroot権限のシェルを起動し、idコマンドで権限昇格が成功していることを確認する挙動が示されています。

侵害後、攻撃者はサービスアカウントを用いてSSHで横展開し、LotL(正規バイナリの悪用)で偵察や権限操作を行い、GRIDTIDEバックドアの永続化を構築しました。永続化は /etc/systemd/system/xapt.service を作成し、/usr/sbin/xapt から新しいインスタンスを起動する形です。
加えて、SoftEther VPN Bridgeを展開して外部IPへ暗号化接続を確立し、設定メタデータからは2018年7月以来このインフラを活用してきた可能性が示唆されています。

バックドア GRIDTIDEの特徴

GRIDTIDEはC言語で実装されたバックドアで、任意のシェルコマンド実行、ファイルのアップロード/ダウンロードが可能とされています。最大の特徴は、Google Sheetsを高可用なC2基盤として扱い、スプレッドシートを文書ではなく通信チャネルとして利用する点です。通信は正規のクラウドAPIリクエストに埋め込まれるため、ネットワーク観点では通常のAPI利用に見えやすいと整理されています。

動作としては、実行時にGoogle Sheets APIのbatchClearでスプレッドシートの広い範囲を消去してセッションを整え、端末情報を収集して特定セルへ格納します。コマンドはセルA1をポーリングし、データ転送はA2以降、ホスト情報はV1といった具合にセルの役割を固定してC2を成立させています。

影響と狙い

GTIGは、今回のエンゲージメントで個人情報(氏名、電話番号、生年月日、出生地、有権者ID、国家IDなど)を含む端末にGRIDTIDEが配置されたケースを示し、通信分野のサイバー諜報における人物特定・追跡・監視目的と整合すると評価しています。
一方で、GTIGは本キャンペーン中に機微情報の持ち出しを直接観測していないとも記載しています。ただし過去のPRC系通信事業者侵害では、通話詳細記録(CDR)や暗号化されていないSMS、合法傍受システムの侵害が起きてきたため、同様の監視が可能になり得る点を警戒しています。

またGTIGは、UNC2814の活動はSalt Typhoonとして公表されている活動とは重複が確認されていないと明確にしています。

検知の観点

Google SecOps向けには、/var/tmp配下の不審実行、SSH経由の機微ファイルアクセス、疑わしいディレクトリへの設定ファイル配置、Google Sheets APIを使ったデータ流出の兆候など、複数の検知ルール名とハンティングクエリが提示されています。

target.url = /sheets\.googleapis\.com/
(
target.url = /batchClear/ OR 
target.url = /batchUpdate/ OR
target.url = /valueRenderOption=FORMULA/
)
principal.process.file.full_path != /chrome|firefox|safari|msedge/
(
metadata.event_type = "FILE_CREATION" OR
metadata.event_type = "FILE_MODIFICATION" OR
metadata.event_type = "FILE_MOVE"
)
AND target.file.full_path = /^(\/usr\/sbin|\/sbin|\/var\/tmp)\/[^\\\/]+\.cfg$/ nocase
principal.process.file.full_path = /^\/var\/tmp\/[a-z0-9]{1,10}$/ nocase AND
target.process.file.full_path = /\b(ba)?sh$/ nocase

参照

Exposing the Undercurrent: Disrupting the GRIDTIDE Global Cyber Espionage Campaign

関連記事

Google Cloudが2025年に多要素認証(MFA)を必須にGoogle Cloudが2025年に多要素認証(MFA)を必須に Google、Salesforceへの不正アクセスでGoogle広告の見込み客情報が漏洩Google、Salesforceへの不正アクセスでGoogle広告の見込み客情報が漏洩 PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛けるPHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける 圧縮・解凍ソフトのWinRAR、修正済みの脆弱性がサイバー攻撃へ悪用(CVE-2025-8088)圧縮・解凍ソフトのWinRAR、修正済みの脆弱性がサイバー攻撃へ悪用(CVE-2025-8088) Oracle E-Business Suiteのゼロデイ攻撃-Google/Mandiantが実装手口と防御策を発表Oracle E-Business Suiteのゼロデイ攻撃-Google/Mandiantが実装手口と防御策を発表 八十二銀行、アコムからの出向者による個人情報の不正共有を発表八十二銀行と長野銀行、アコムからの出向者による個人情報の不正共有で個人情報漏えいを発表 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) ZACROS(藤森工業株式会社)へのサイバー攻撃でランサムウェア 攻撃 グループArgonauts(アルゴノーツ)が犯行声明ZACROS(藤森工業株式会社)へのサイバー攻撃でランサムウェア 攻撃 グループArgonauts(アルゴノーツ)が犯行声明 中国系スパイグループ「UNC3886」がサポート終了した Juniper ルーターを標的にサイバー攻撃中国系スパイグループ「UNC3886」がサポート終了した Juniper ルーターを標的にサイバー攻撃