本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
Google脅威インテリジェンスグループ(GTIG)は、6月16日付のGoogle Cloud Blogで、中国との関連を示す脅威アクター「UNC6508」が北米の学術・医療・軍事研究コミュニティーを標的にしたサイバー作戦を確認したと公表した。ロイターは15日、米国とカナダの研究機関への侵入として報じている。既知の活動は2023年9月から2025年11月まで続き、攻撃者は1年以上検知されないまま、防衛情報、国家安全保障、インド太平洋での作戦、人工知能、無人システム、サイバー攻勢プログラム、医療研究に関する情報を狙っていた。
医療研究基盤を足場にした長期潜伏
侵入の足場となったのは、医療・科学研究で使われるウェブ基盤「REDCap」のサーバーだった。REDCapは研究用のデータベースや調査票をオンラインで作成・管理する仕組みで、北米の医療研究コミュニティーで広く利用されている。攻撃者はここに専用マルウェア「INFINITERED」を展開し、正規の認証情報を盗み取った。
盗んだ認証情報は、被害組織の内部ネットワークへ横展開するために使われた。INFINITEREDは認証情報の窃取、ソフトウェア更新時の永続化、バックドア機能を組み合わせた構成で、いったん入り込むと見つかりにくく、長期にわたり内部で活動できる仕組みだった。
Googleの報告書によると、UNC6508は「Patroit」と名付けたコンテンツコンプライアンスルールを作成し、キーワードやメールアドレスのパターンに合致した送受信メールを、攻撃者が管理するGmailアドレスへ秘密裏にBCC転送していた。ロイターは、この仕組みが約150件のキーワードや検索語に基づくものだったと報じている。標的は世界的な臨床提供者、主要学術センター、北米の軍医療機関、業界団体、医療規制当局などに広がっていた。
被害組織に通知、関連インフラを妨害
Googleは米国とカナダで複数の被害組織を特定し、通知と対処支援を行うとともに、攻撃に使われた関連インフラを妨害した。標的群は数千人規模の人員を抱え、研究予算は合計で数十億ドル規模にのぼるとされ、研究・医療・安全保障が交差する領域を狙った作戦だった。
被害を受けた具体的な組織名や、実際に持ち出されたデータの総量は公表されていない。GoogleはUNC6508を中国関連の脅威アクターと位置づけ、同集団による活動と高い確度で評価している。中国政府が直接指揮したとする記述はない。ロイターによると、在ワシントン中国大使館はコメント要請に即答していない。
参考・出典
- Public and Private Medical Community Targeted by China-Nexus Threat Actor Pursuing Artificial Intelligence, Cyber, Medical, and National Defense Research | Google Cloud Blog
- Chinese-linked hackers targeted U.S.,Canadian research facilities for a year, Google says By Reuters
- Chinese hackers breached North American research institutions via REDCap servers – Help Net Security
