Google Sheetsが中国スパイのC2サーバーに——GridTide攻撃の全貌
あなたが毎日使っているGoogle Sheetsが、中国政府系ハッカー集団のスパイ活動を支える「指揮統制サーバー」として悪用されていた——GoogleのThreat Intelligence Group(GTIG)とMandiantが公表した調査レポートが、サイバーセキュリティ業界に衝撃を与えています。
「GridTide」と名付けられたC言語ベースのバックドアは、Google Sheets APIを巧みに悪用し、42カ国・53の組織に侵入。通信事業者や政府機関から数百万件の個人情報を窃取し、特定人物の追跡・監視活動に利用していました。被害は70カ国以上に及ぶ可能性があり、一部の組織は数年間にわたり気付かないまま侵害されていたとされます。
UNC2814とは何か
UNC2814は、Googleの脅威分析チームが追跡する中国関連(China-nexus)のサイバースパイグループです。少なくとも2017年から活動しており、主に通信事業者(テレコム)と政府機関を標的にしています。
「UNC」はMandiantの命名規則で「Uncategorized(未分類)」を意味し、既知のAPTグループとの明確な関連付けが完了していない脅威アクターに使われます。しかし、その高度な技術力、標的の選定パターン、活動時間帯の分析から、中国政府の情報機関との関連が強く疑われています。
UNC2814の特徴は、正規のクラウドサービスを指揮統制(C2)インフラとして悪用する手法にあります。従来の国家支援型ハッカーは、自前のC2サーバーを設置するのが一般的でした。しかしこの方法では、セキュリティベンダーにIPアドレスやドメインを特定され、比較的早期にブロックされるリスクがあります。UNC2814はこの課題を、Google Sheetsという誰もが使う正規サービスを中継点にすることで解決したのです。
GridTideマルウェアの技術的仕組み
GridTideは、C言語で書かれたLinux向けバックドアです。その最大の特徴は、Google Sheets APIをC2(Command and Control)チャネルとして利用する点にあります。通常のC2通信はセキュリティ製品が検知しやすいカスタムプロトコルやHTTPSのビーコンを使いますが、GridTideはGoogleのAPIへの正規のHTTPSリクエストに見せかけることで、ネットワーク監視をほぼ完全にすり抜けます。
C2通信のメカニズム
GridTideのC2通信は、Google Sheetsのセル構造を巧妙に利用しています。
- セルA1(コマンドチャネル): 攻撃者がこのセルにコマンドを書き込みます。GridTideは毎秒このセルをポーリングし、新しいコマンドがあれば即座に実行します。
- セルA2〜An(データ転送チャネル): コマンドの実行結果や窃取したデータがこの範囲に書き込まれます。大量のデータは複数のセルに分割して格納されます。
- セルV1(メタデータチャネル): 感染端末のホスト名、IPアドレス、OS情報、感染日時などの識別情報が記録されます。攻撃者はこの情報をもとに、どの端末にどのコマンドを送るかを判断します。
この設計が極めて巧妙なのは、Google SheetsへのAPIアクセスがTLSで暗号化された正規のHTTPS通信であり、宛先もGoogleの正規ドメインであるという点です。企業のファイアウォールやプロキシが sheets.googleapis.com への通信をブロックすることは現実的ではなく、EDR(Endpoint Detection and Response)製品もこの通信を悪意あるものと判定するのは極めて困難です。
以下の図は、GridTideがGoogle Sheets APIを介してどのようにC2通信を行い、データを窃取するかの全体像を示しています。
ポスト・コンプロマイズの技術
GridTideの感染後、UNC2814は以下の手法で組織内部に深く侵入していきます。
- SSH横展開: 窃取した認証情報を使い、SSH経由で内部ネットワークの他のサーバーに移動。特に通信事業者の加入者データベースサーバーが重点的に狙われました。
- Living-off-the-Land(環境寄生型攻撃): 標的システムにもともと存在するツール(bash、curl、wgetなど)を使い、追加のマルウェアをインストールせずに活動。これにより、アンチウイルスソフトの検知を回避します。
- SoftEther VPN Bridge: オープンソースのSoftEther VPNをブリッジモードで設置し、攻撃者が内部ネットワークに直接アクセスできるトンネルを構築。
- systemdによる永続化: GridTideバックドアをsystemdサービスとして登録し、システム再起動後も自動的に起動するよう設定。サービス名は
syslogd-auditやnetwork-health-monitorなど、正規のシステムサービスに偽装されていました。
攻撃の規模と標的
GTIGの調査によると、UNC2814は42カ国にまたがる53の組織への侵入が確認されています。さらに、ログの分析からは70カ国以上に被害が及んでいる可能性が示唆されています。
地理的分布
主な標的地域はアフリカ、東南アジア、南アジア、中東、中南米です。これらの地域に共通するのは、通信インフラのセキュリティ対策が先進国と比べて脆弱な傾向にあることです。一方で、北米やヨーロッパの組織も複数確認されており、攻撃範囲はグローバルに及びます。
標的の選定パターン
UNC2814が主に狙うのは通信事業者と政府機関の2種類です。
通信事業者への侵入で窃取されたデータには以下が含まれます。
- 加入者の氏名、電話番号、生年月日
- 通話記録(CDR: Call Detail Records)
- 位置情報データ
- SIMカード情報
政府機関からは以下のデータが流出しました。
- 有権者登録情報
- 国民ID番号
- パスポート情報
- 政府職員の連絡先
これらのデータを組み合わせることで、特定の人物——活動家、ジャーナリスト、外交官、反体制派など——の居場所をリアルタイムで追跡し、通信内容を監視することが可能になります。これは単なるサイバー犯罪ではなく、国家によるインテリジェンス活動です。
Googleの対応と遮断措置
GoogleのGTIGとMandiantは、GridTideキャンペーンを検知した後、以下の措置を実施しました。
- Google Cloudプロジェクトの停止: UNC2814が使用していたGoogle Cloudプロジェクトを特定し、すべて停止。C2に使われていたSheets APIへのアクセス権限を剥奪しました。
- Google Sheetsアクセスの取り消し: C2通信に使用されていたスプレッドシートへのアクセスを無効化。これにより、すでに感染している端末からのポーリングが即座に失敗するようになりました。
- ドメインのシンクホール化: UNC2814が使用していたドメインをシンクホール(無害なサーバーにリダイレクト)し、追加のマルウェア配布や予備C2チャネルを無効化。
- インフラの無効化: 攻撃に使用されていたサーバー、VPNトンネル、その他のインフラを特定し、関連するクラウドプロバイダーと連携して停止。
以下の図は、GridTide攻撃の初期侵入からスパイ活動に至るまでのキルチェーンと、Googleによる遮断措置の全体像を示しています。
Googleは影響を受けた組織に対して個別に通知を行い、IOC(Indicators of Compromise:侵害の痕跡)を共有しています。しかし、多くの組織が何年間も侵害に気付いていなかったという事実は、現在のサイバーセキュリティ体制の限界を浮き彫りにしています。
主要APTキャンペーンとの比較
GridTideは、近年増加している中国関連のサイバースパイキャンペーンの一つです。他の主要キャンペーンと比較してみましょう。
| 項目 | GridTide (UNC2814) | Salt Typhoon | Volt Typhoon | APT41 |
|---|---|---|---|---|
| 帰属 | 中国関連 | 中国関連(MSS系) | 中国関連(PLA系) | 中国関連(MSS系) |
| 活動開始 | 2017年〜 | 2023年〜 | 2021年〜 | 2012年〜 |
| 主な標的 | 通信事業者・政府 | 米国通信事業者 | 重要インフラ | 多業種(政府・テック) |
| C2手法 | Google Sheets API | カスタムC2 | Living-off-the-Land | 多様(Cobalt Strike等) |
| 被害規模 | 42カ国53組織 | 米国主要ISP 9社 | 数百の重要インフラ | 100カ国以上 |
| 窃取データ | PII・通話記録 | 通信傍受データ | 事前配置(破壊準備) | 知的財産・PII |
| 特筆すべき点 | 正規クラウドサービス悪用 | 米国通信の大規模傍受 | 有事の破壊工作が目的 | 金銭目的と諜報の両面 |
GridTideの特筆すべき点は、Google Sheetsという世界中の企業で日常的に使われている正規サービスをC2インフラに転用した点です。Salt TyphoonやVolt Typhoonが独自のインフラを構築するのに対し、GridTideはGoogleのインフラに「寄生」することで検知を極めて困難にしました。
日本への影響と防御策
日本はGridTideの確認された被害国リストには含まれていませんが、楽観視すべきではありません。
日本の通信事業者が直面するリスク
日本の通信事業者は世界有数の加入者データを保有しています。NTTドコモ約8,900万回線、KDDI約6,400万回線、ソフトバンク約5,400万回線——これらの加入者情報は、情報機関にとって極めて価値の高いインテリジェンス資産です。
2024年末に明らかになったSalt Typhoonによる米国通信事業者への侵入は、日本の通信業界にも大きな衝撃を与えました。GridTideが42カ国に及ぶグローバルなキャンペーンであることを考えると、日本の通信インフラも標的リストに含まれている可能性は否定できません。
正規クラウドサービスの悪用への対策
GridTideの手法が特に厄介なのは、従来のネットワークセキュリティでは対処が難しい点です。Google Sheets APIへのアクセスをブロックすれば業務に支障が出ます。そこで、以下のような多層的な防御策が求められます。
- CASBの導入: Cloud Access Security Broker(CASB)を導入し、Google Workspace APIへの異常なアクセスパターン(毎秒のポーリングなど)を検知
- EDRの強化: systemdサービスの不審な登録、SSHの異常な横展開パターンを検知するルールを追加
- ゼロトラストの徹底: 内部ネットワークであっても通信を暗号化し、マイクロセグメンテーションで横展開を制限
- 認証情報の強化: 1Passwordなどのパスワードマネージャーで強固な認証情報管理を行い、SSH鍵の定期ローテーションを実施
- VPN通信の監視: NordVPNのような信頼性の高いVPNサービスを使用し、不審なVPNトンネル(SoftEther VPN Bridgeなど)の検知ルールを導入
政府機関の対応
総務省と内閣サイバーセキュリティセンター(NISC)は、GridTideのIOCを国内通信事業者と共有し、自社環境での検索を促すべきです。特に、systemdサービスの棚卸しとGoogle APIへの異常な通信パターンの調査は、比較的低コストで実施できる初動対応として有効です。
まとめ
GridTideキャンペーンは、国家支援型サイバースパイ活動が新たなフェーズに入ったことを示しています。正規のクラウドサービスを悪用することで、従来のセキュリティ対策をすり抜ける——この手法は今後さらに増加すると予想されます。
今すぐ取るべきアクションステップ:
- IOCの確認: GoogleとMandiantが公開したGridTideのIOC(侵害の痕跡)を自社のSIEM/EDRで検索し、過去のログにも遡って調査する
- systemdサービスの監査: Linux環境のsystemdサービス一覧を確認し、不審なサービス(
syslogd-audit、network-health-monitorなど正規に見えるが心当たりのないもの)がないか調査する - Google API通信の監査: CASBやプロキシログで、Google Sheets APIへの異常なアクセスパターン(高頻度のポーリング、営業時間外のアクセス)を確認する
- 認証情報の見直し: SSH鍵の棚卸しと定期ローテーションを実施。1Passwordでチーム全体の認証情報管理を統一し、パスワードの使い回しを排除する
- ネットワークセグメンテーション: 加入者データベースなどの重要資産を厳格にセグメント化し、万が一の侵入時も横展開を最小限に抑える体制を構築する
Google Sheetsがスパイツールになる時代——私たちのセキュリティ意識も、それに合わせてアップデートする必要があります。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星