チェック・ポイント・リサーチ、巧妙な攻撃手法を駆使する中国関連のサイバー諜報グループ「Ink Dragon」の実態を報告

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、中国に関連するサイバー諜報組織「Ink Dragon」の活動が、アジア・南米から欧州の政府ネットワークへと拡大していることを明らかにしました。CPRの最新レポートでは、Ink Dragonが侵害したサーバーを中継ノードとして利用し、複数の国にまたがる攻撃インフラを構築している実態を報告しています。

概要

• 中国の諜報グループであるInk Dragonは、アジア・南米から欧州の政府機関ネットワークを含む新たな地域へと活動範囲を拡大しています。 

• 侵害したサーバーを中継ノードとして利用し、被害者環境を経由してコマンドをルーティングすることで、他の環境での活動を支援します。

• 攻撃者はFinalDraftの新たな亜種を含む進化したツール群により、Microsoftのクラウド活動に紛れ込む形で長期的なアクセスを維持します。

• RudePandaを含む複数の脅威アクターが、外部に公開された同一の脆弱性を悪用しており、単一の脆弱性が複数の高度な脅威グループを引き寄せ得る実態を示しています。

• CPRは引き続きInk Dragonの活動を追跡し、組織がその進化する戦略を検知・阻止するためのインテリジェンスを提供します。 

Ink Dragonは長年活動してきた諜報グループであり、複数のセキュリティベンダーがその行動特性やインフラ指標の分析に基づき中国関連の脅威アクターであると指摘しています。その活動は東南アジアや南米から始まり、現在では欧州の政府ネットワークへの侵入件数が増加しています。

CPRは一連のキャンペーンを通じて同グループの活動の拡大を追跡しており、目立たない侵入口から段階的に権限を拡大し、侵害した被害環境を自らの活動基盤へと転用していくという一貫した攻撃パターンを明らかにしました。

攻撃の進行過程

攻撃は、外部に公開されたウェブ環境における小さな設定不備などの脆弱性を起点に始まります。調査対象となった侵入事例の多くは、MicrosoftのIIS WebサーバーやSharePointといった環境における単純な設定上の問題を起点としており、攻撃者は最小限の検知リスクでサーバーにコードを埋め込むことができていました。

ネットワーク内部の移動 
攻撃者は最初に侵入したサーバーを足掛かりに、環境内を密かに移動するために必要なアクセス権の取得に焦点を当てます。彼らはすでに使用されているパスワードやサービスアカウントを悪用することで、下記のような段階を踏みながら、通常の管理活動に紛れ込むことを可能にします。 

• 侵害したサーバーからローカル認証情報を収集

• アクティブな管理者セッションを識別

• 共有または複製されたサービスアカウントを再利用して、近隣のシステムにアクセス

• リモートデスクトップを利用し、正当な操作に見せかける形でネットワーク内を横展開

通常、この段階は低ノイズで進行することが特徴であり、同一の認証情報や管理パターンを共有するインフラストラクチャを介して活動範囲を拡大していきます。

権限の掌握 

ドメインレベルの権限を持つアカウントに到達すると、攻撃者は環境を詳細に分析・把握し、各種ポリシー設定を制御して、高価値なシステム全体に長期アクセスを維持するためのツールを展開します。具体的には以下を実行します。 

• 永続的なバックドアをインストール

• 認証情報や機密データを保存しているシステム上にインプラントを配置

• 元のエントリーポイントに依存しない、新たなリモートアクセス経路を準備

被害者をインフラに変える手法 

Ink Dragonの大きな特徴は、侵害した組織を他の攻撃を支えるインフラとして利用する手法にあります。同グループはIISベースのカスタムモジュールを展開して、公開サーバーを目立たない中継点に変えます。これらのサーバーは、異なる被害者環境間でコマンドやデータを中継し、攻撃トラフィックの真の発信源を隠ぺいする通信メッシュを形成します。

実際には、次のような状況が生じます。

• ある国で侵害されたサーバーが、別の国で実行される攻撃のトラフィックを転送する可能性がある

• 新たな侵害が発生するたびに、Ink Dragonの広範なコマンド＆コントロール（C2）ネットワークが強化されていく

• 防御側から観測されるのは、一見して通常の企業活動のような組織横断的なトラフィックであるため、脅威の検出がより困難になる

進化する新たなツール群 

アップデートされたFinalDraftバックドアは、複数の諜報グループに長年使用されてきたリモートアクセスツールです。長期的アクセスの確保を目的に設計されており、現在では一般的なMicrosoftクラウド活動に直接溶け込むよう最適化されています。疑いを招く可能性のあるサーバーを使用せず、コマンド通信を一般的なメールボックスの下書きフォルダ内に隠ぺいすることで、日常的なMicrosoftサービスの利用と区別がつきにくくなります。

最新版では、攻撃者のオペレーションを改善する複数のアップグレードが導入されています。

• タイミング制御機能：通常の業務時間に合わせ、マルウェアが特定の時間帯にチェックイン

• 効率的なデータ転送機能：大容量ファイルをバックグラウンドで密かに移動できる

• 詳細なシステムプロファイリング機能：侵害された各マシンの明確な把握が可能

こうした改良は、脅威アクターがステルス性、安定性、そしてクラウド環境を前提としたオペレーションに重点を置いていることを示しています。Ink Dragonは検知をより困難にし、長期的なキャンペーンの持続を容易にする方向へとツールを継続して進化させています。

RudePandaの活動との重複 

CPRの調査では、Ink Dragonと並行して、RudePandaと呼ばれる第二の脅威アクターが同一の政府機関ネットワークの一部に密かに侵入していたことも明らかになりました。両グループには関連性がないにもかかわらず、同じ外部に公開されたサーバーの脆弱性を突き、結果として同じ環境で同時期に活動していました。

この重複は、両者の協力関係を示唆するものではありません。その一方で、たったひとつの未修正の脆弱性が複数の高度な脅威アクターの侵入経路となり、同一の組織内でそれぞれ独自の攻撃キャンペーンを展開し得るという事実を示しています。

CPRの見解

Ink Dragonの最近の活動は、侵害したサーバーをより広範な通信ネットワークの一部として利用するという手法の進化を示しています。固定的なC2ネットワーク用のインフラに依存せず、被害者の環境を中継拠点として転用する手法は、Ink Dragonがレジリエンスを保ち、日常のウェブ活動に溶け込む上で有効です。

Ink Dragonはこの手法により、C2通信のための柔軟性のある経路を確保し、日常的なHTTP通信に違和感なく紛れ、侵害したサーバーの長期的な利用価値を高めています。FinalDraftをはじめとする広範なツールキットは、安定したアクセスとオペレーションの密かな実行を可能にし、このアプローチを支えています。

CPRのグループマネージャー、イーライ・スマッジャ（Eli Smadja）は、今回の調査結果について次のように述べています。
「Ink Dragonはただネットワークに侵入するだけの脅威ではありません。それどころか、被害者のネットワークをグローバルなC2ネットワークの一部へと密かに組み替えています。侵害された各サーバーは、より大規模なメッシュ型ネットワークの構成要素となり、攻撃者のトラフィックを日常的なウェブアクティビティに見える通信の中に隠します。その結果、防御側は脅威の検知と排除が著しく困難になるのです。防御側は、侵入を単発の事象として扱うのではなく、自組織の環境が大規模な敵対ネットワークにおける潜在的な中継拠点となり得ることを想定する必要があります。この脅威を真に根絶するには、単なるエンドポイントのクリーンアップではなく、中継チェーン全体の特定と解体が必要不可欠です」

本プレスリリースは、米国時間2025年12月16日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。

ブログ: https://research.checkpoint.com/ 
X: https://x.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。 

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://x.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

 
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp