～Exchangeゼロデイを悪用、AI・半導体・量子技術分野が標的に～

【2025年7月5日｜クアラルンプール／北京】
マレーシア・クアラルンプールで2025年7月1日から3日にかけて開催された**National Cyber Defence and Security Exhibition and Conference（CYDES）にて、中国のサイバーセキュリティ企業Qianxin Technology（奇安信科技）の脅威インテリジェンスチームRedDrip（赤滴）**は、**北米に拠点を置くと見られる新たな高度持続的脅威（APT）グループ「NightEagle Group」（APT-Q-95）**による一連の対中サイバー攻撃の実態を公表した。

2023年から継続的な諜報活動、標的は軍・先端技術分野

RedDripの発表によると、NightEagle Groupは2023年より活動を開始。中国国内の軍事機関、半導体企業、人工知能関連企業、量子技術ベンチャー、および防衛関連請負企業を標的に、機密情報の窃取を目的とした継続的な攻撃活動を展開しているという。

最大の特徴は、Microsoft Exchangeの未知のゼロデイ脆弱性を悪用した点で、これにより組織内部の通信インフラを完全に掌握する手法を取っていた。

偽装ドメインと改変ツールで痕跡を隠蔽

攻撃者は、Synology社を模した**偽装ドメイン「synologyupdates.com」**を用いて悪性通信を正当なアップデートに見せかけていた。また、オープンソースプロキシツール「Chisel」を改変し、4時間ごとに自動実行されるスケジュールタスクとして配置。これにより、通信の秘匿性を高めながら、継続的な情報吸出しを行っていた。

さらに、Exchangeサーバーの設定ファイル内に保存される「machineKey」を窃取することで、標的組織内の全メールデータへのリモートアクセス権を取得。機密性の高い通信記録を長期間にわたり傍受していたとみられる。

北米西海岸を拠点か、攻撃は中国の夜間に集中

RedDripによる行動時間帯分析では、攻撃活動の大半が北京時間の午後9時から翌午前6時に集中していることが判明。これは、米国西海岸（PST）での日中時間帯と一致しており、NightEagle Groupが北米太平洋時間帯に拠点を置いている可能性が高いと結論づけている。

Microsoftは現時点で、「このインシデントに関連した新たなゼロデイ脆弱性は特定されていないが、調査は継続中」としている。

国家間サイバー諜報の様相、社会インフラ・先端分野に警鐘

RedDripは「今回の攻撃は、国家的意図を背景にした諜報活動の一端とみられる。ターゲットが中国の戦略的重点産業であることからも、単なる金銭目的のサイバー犯罪ではない」と強調。

専門家の間では、「AI・量子・半導体・軍事という重要分野を狙った長期的侵入は、サイバー空間における冷戦構造の一例」との見方も出ており、先端技術領域に関わる企業・機関は国家間攻撃のリスクを現実のものとして受け止める必要があるとの警鐘が鳴らされている。

引用元記事：https://innovatopia.jp/cyber-security/cyber-security-news/60136/