Googleが阻止したUNC2814：中国のスパイ活動が通信・政府機関を標的に

Googleが中国の大規模サイバースパイ活動を阻止

Googleの脅威分析グループ（Threat Analysis Group, TAG）は、中国とつながりがあるとされる脅威アクターUNC2814による長期にわたるサイバースパイ活動を阻止することに成功した。このグループは2017年以降少なくとも活動を続けており、42か国にわたる通信事業者、政府機関、重要インフラを標的にしていた。

キャンペーンの技術的詳細

Googleは完全な**侵害指標（Indicators of Compromise, IOCs）**を公開していないが、この活動はこれまでに文書化された中国の国家支援型サイバースパイ活動の手法と一致している。UNC2814は以下の手法を活用したと考えられている：

• 悪意のある添付ファイルやリンクを含むスピアフィッシングメール
• 広く使用されているソフトウェアのゼロデイエクスプロイト
• 信頼できるベンダーを侵害するサプライチェーン攻撃
• 検出回避のためのLiving-off-the-land（LotL）技術

また、このグループのインフラでは、耐弾性ホスティングプロバイダー（bulletproof hosting providers）やファストフラックスDNS技術が使用され、持続性を維持し、テイクダウンを回避していたことが確認されている。

影響と標的範囲

このキャンペーンの主な目的は、情報収集と長期的な監視であり、特に以下の分野が標的とされた：

• 通信事業者（通話データの傍受やネットワークマッピングを目的とする可能性が高い）
• 政府機関（外交、防衛、経済分野）
• 重要インフラ（エネルギー、交通、金融サービス）

Googleの阻止活動には、コマンド＆コントロール（C2）サーバーのシンクホール化や業界パートナーとの協力による脅威の中和が含まれる。しかし、このグループの過去の活動を考慮すると、セキュリティ研究者は戦術を改良した継続的な活動を予測している。

組織への推奨事項

特に高リスク分野のセキュリティチームは、以下の対策を講じるべきである：

• フィッシング対策の強化（多要素認証、メールフィルタリング、ユーザー教育）
• ネットワーク内での異常なラテラルムーブメントや権限昇格の監視
• 既知の脆弱性の迅速なパッチ適用（特にゼロデイエクスプロイトの優先対応）
• 潜在的な侵害を制限するためのネットワークセグメンテーションの実施
• 第三者による侵害を防ぐためのサプライチェーンセキュリティの見直し

GoogleのTAGは引き続きUNC2814を追跡しており、この脅威アクターに関連する不審な活動の報告を組織に呼びかけている。調査の進展に伴い、さらなる技術的詳細が公開される可能性がある。