Dragon Weaveが示す次の常態：Rustローダー×Azure Blob C2で欧州中東欧と台湾をつなぐ諜報線です

今日の深掘りポイント

• スピアフィッシング（ZIP）→Rustローダー→クラウドC2（Azure Blob）の三段構えが、メール・EDR・ネットワークの各レイヤの死角を連結させている点が肝です。
• C2にAzure Blob Storageを用いる「デッドドロップ型」運用は、検知の主戦場を“外向きHTTP(S)の正常通信”に寄せ、SASトークンやHTTP動詞（PUT/GET）パターンの可視化が成否を分けます。
• 標的はチェコと台湾の政府・研究・金融ほか。欧州中東欧と台湾海峡の地政学的ホットスポットを一本の情報線で結ぶ意図が透けます（仮説）。
• 既存対策の延長で一定の封じ込めは可能ですが、クラウド利用型C2の観測点と検知ロジックを“組織横断”で再設計しない限り、取りこぼしが出やすい局面です。
• 現場への示唆は三つに集約できます。1) ZIP/暗号化添付の強制分離、2) Azure Blobへの未知のPUT/GET＋SASトークン検知、3) Rust系ローダーの特徴と“二段階ペイロード”想定のハンティング強化、です。

はじめに

「Operation Dragon Weave（ドラゴンウィーブ）」と呼ばれるサイバースパイ活動が、チェコ共和国と台湾の公的機関・関係者・市民に焦点を当てて動いています。報道によれば、攻撃はスピアフィッシングでパスワード付ZIPを投下し、Rust製ローダーで最終ペイロードを展開、C2にはMicrosoft AzureのBlob Storageを活用する手口が観測されています。クラウドC2に移行する潮流のなかでも、Blobコンテナを介してコマンドと結果をやり取りする“デッドドロップ型”は、企業の境界防御とメール／EDRの継ぎ目を突く設計です。

本件は緊急性が高く、技術的にも新しさがある一方で、各レイヤの基本防御を持つ組織なら勝ち筋は見えます。ポイントは、クラウド正規基盤を悪用した低ノイズC2を“どう見つけるか”に尽きます。特にプロキシ／ZTNAでのAzure Blobへのアップロード挙動やSASトークン利用のモニタリングは、投資対効果が高い打ち手です。

出典は次の報道です（一次出典への直接参照は現時点で限定的です）。

• The Hacker News: China-Aligned Groups Ramp Up Attacks; Operation Dragon Weave targets Czech Republic and Taiwan（2026-06-01）https://thehackernews.com/2026/06/china-aligned-groups-ramp-up-attacks.html

深掘り詳細

いま分かっている事実（報道ベース）

• 標的とキャンペーン
  • 「Operation Dragon Weave」はチェコ共和国と台湾の政府関係者や市民を狙うスパイ活動です。政府・研究・技術・金融サービスなどが影響範囲とされています。
  • スピアフィッシングでパスワード付ZIPを配布し、受信者が解凍・実行すると感染が始まります。
• 実行チェーン
  • 初期実行にRustベースのローダーを用いて最終ペイロードを展開します。Rust特有の静的リンクやシグネチャ回避が狙いと思われます（動機は筆者推測です）。
  • C2はMicrosoft Azure Blob Storageを利用。感染端末と攻撃者が同一のストレージコンテナを“郵便受け”のように介してコマンド・結果を交換するモデルが報じられています。
• 操作範囲
  • 感染後は広範な操作（情報収集、遠隔操作、データ窃取など）が可能とされ、事実上の完全制御に近い権限を持つ構成です。

補足：一部報道では、最終段に特定のC2フレームワーク（例：AdaptixC2）が投下される旨の言及がありますが、ベンダーの公式技術詳細が未確認のため、本稿では「モジュール型のC2ペイロード」として扱います（仮説を含みます）。

編集部のインサイト（なぜ効くのか／どこで止めるか）

• なぜZip＋Rust＋Blobの組合せか
  • メール段での検出回避にパスワード付ZIP、実行段でのAV/EDRシグネチャ回避にRustローダー、C2段でのネットワーク検知回避にAzure Blobという、各レイヤの“よく効く隠れ蓑”を直列にした設計です。単体で見れば既視感のある手口でも、三つが揃うと誤検知抑制ロジックに埋もれやすくなります。
• Blob C2観測の実務要点
  • Azure BlobはGETだけでなくPUT（アップロード）やLIST、HEADも飛びます。端末から未知のblob.core.windows.netドメインに対し、短時間でPUT/GET/DELETEが混在するパターンや、クエリにsv=・sig=・se=などSASトークンの典型パラメータが含まれるアクセスは優先監視対象です。
  • SDK既定のUser-Agent（例：特定のRust HTTPクライアントやライブラリの既定UA）がそのまま使われているケースも散見されるため、プロキシでUAを観測できる環境なら“正規業務で現れないUA”をゆるくアラートにかける価値があります（仮説）。
• 新奇性は“低ノイズ設計”に宿る
  • 手口それぞれは特別ではありませんが、クラウド正規基盤を“共有メッセージボックス”に見立てた非同期C2は、遮断・特定いずれも難度が一段上がります。逆に言えば、メール・EDR・プロキシを横断する相関ルールを少数でも良質に作れば、費用対効果は高いです。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。個々のテクニックは観測事実と整合するよう選定していますが、環境により差異が出る点はご留意ください。

• シナリオA：中央省庁のアナリスト端末が踏み台化

  • 初期侵入: Spearphishing Attachment（T1566.001）、User Execution（T1204.002）、Obfuscated/Compressed Files（T1027）
  • 実行・展開: Ingress Tool Transfer（T1105）でRustローダーが最終ペイロード取得
  • C2: Application Layer Protocol: Web（T1071.001）を介したAzure Blobデッドドロップ、Encrypted Channel（T1573）
  • 永続化・権限昇格: Registry Run Keys/Startup Folder（T1547.001）、Scheduled Task（T1053.005）
  • 認証情報: OS Credential Dumping（T1003.001）、Credentials from Password Stores（T1555）
  • 側方移動: Remote Services（T1021）
  • 収集・流出: Exfiltration to Cloud Storage（T1567.002）
  • 影響: 政策文書・外交通信の継続的な窃取と、決裁前情報への先回り的アクセス。意思決定に対する間接的介入が現実味を帯びます。

• シナリオB：大学・研究機関の共同研究データ窃取

  • 初期侵入からC2まではAと同様。研究用ファイルサーバやコラボ基盤に対し、権限昇格後に既存SaaSのアクセストークンを再利用（仮説：WebセッションハイジャックやCookie取得）。
  • 影響: 研究成果・未公開データの継続的流出、産学連携プロジェクトの競争優位喪失。

• シナリオC：金融サービスの地政学リスク調査部門を狙った諜報

  • 初期侵入後、端末E-Mail/IM履歴から人的ネットワークを抽出し、対アジア投資判断や通貨政策関連の非公開見解を重点収集。
  • 影響: マーケット感応度の高い分析文書の窃取により、金銭的・政策的な影響波及が想定されます。

この種のクラウドC2は、組織境界でのIP/ドメインブロックが効きづらく、長期潜伏を許しやすいです。したがって、メール段とプロキシ段の“相関”が鍵になります。ZIP添付の実行イベントと、短時間に発生するBlobへのPUT/GET列の結合で第一発見率は大きく上がります。

参考（MITRE ATT&CK）:

• Spearphishing Attachment T1566.001: https://attack.mitre.org/techniques/T1566/001/
• Application Layer Protocol: Web T1071.001: https://attack.mitre.org/techniques/T1071/001/
• Exfiltration to Cloud Storage T1567.002: https://attack.mitre.org/techniques/T1567/002/

セキュリティ担当者のアクション

優先度順に、現場で“すぐできること”と“次にやること”を整理します。

• 今すぐ（24〜72時間）

  • メールゲートウェイ再設定
    • パスワード付ZIPは原則分離保管またはクラウドサンドボックス経由に強制。ZIP内のLNK/JS/DLL/ISOを高感度に。
    • 表層本文や送信元が国内語圏でも、返信先ドメイン不一致や急な業務催促の定型句に基づくルールを改めて強化。
  • ネットワーク監視の即時ハント
    • プロキシ/セキュアWebゲートウェイで、端末からblob.core.windows.net宛のHTTP(S)アクセスのうち、クエリにsv=, sig=, se=などSASトークンが含まれるリクエストを抽出。短時間のPUT→GET→DELETEが連続する端末を優先調査。
    • 業務でAzure Blobへの“アップロード”が不要な部門から、PUT/DELETEを暫定ブロックまたは承認制に。
  • EDRハンティング
    • メールクライアントやエクスプローラ直下からの新規実行プロセスで、直後に外向きTLSを開始するプロセスを抽出。接続先SNIがblob.core.windows.netのものを優先精査。
    • Rust系バイナリに特徴的な静的リンク大容量（数MB級）、不自然なPDB/署名欠落、実行直後のネットワーク起点を複合条件でスコアリング（誤検知に注意、あくまでトリアージ補助に）。
  • 逸脱が見つかった場合の即応
    • Blob通信の接続先FQDN/IPを一時遮断しつつ、端末隔離。ブラウザ・メール・IMクライアントのセッションCookie、資格情報の強制ローテーションを同時に実施。

• 1〜2週間

  • Egressコントロールの整備
    • “許可されたストレージ”以外へのアップロードを原則禁止するポリシーをCASB/プロキシで実装。企業で利用するAzure Storageアカウント名（.blob.core.windows.net）を明示的に許可リスト化。
    • Azure Blobへのアクセスで“未知アカウント名”＋PUT/DELETEを検知・ブロックするテンプレートを整備。
  • 相関検知ルールの常設化
    • 「ZIP添付受信→数時間内のBlob PUT/GET」や「新規プロセス生成→Blob SASアクセス」といったイベント相関ルールをSIEMで定義。
  • 釣り訓練の刷新
    • ZIP/クラウド共有リンク/業務急便の組合せを模したテンプレートに更新。国内語圏・英語混在のケースも含め、役職者向けに別パターンを用意。

• 30日〜

  • ログと可視化の“構造化”
    • Blobアクセスのメタデータ（HTTP動詞、パス長、レスポンスコード、UA、SNI）をスキーマ化し、平常分布をダッシュボード化。検知は平常からの逸脱で運用。
  • レッドチーム／パープルチーム演習
    • デッドドロップ式C2（疑似Blob）を用いた演習で、検知と封じ込めの実効性を確認。EDR・プロキシ・メールの境界をまたぐプレイブックを更新。
  • サプライヤと外部連携
    • 政府・大学・金融の委託先に対し、ZIP取り扱い・Blobアップロード制御の最小要件を契約に明記。クラウド正規基盤悪用への検知状況を相互レビュー。

最後に、今回のメトリクス（緊急性・新奇性・行動可能性等）を総合して考えると、“いま仕留めに行ける攻撃”です。新機軸はC2の低ノイズ化ですが、観測点と相関の当て所を誤らなければ、既存スタックで十分に戦えます。逆に、どれか一段でも疎かにすると、他段の死角とつながって長期潜伏を許す構造です。三つの継ぎ目（メール／EDR／プロキシ）を一体で設計し直すことが、今回の学びの最大公約数だと編集部は考えます。

参考情報

• The Hacker News（報道）: China-Aligned Groups Ramp Up Attacks; Operation Dragon Weave targets Czech Republic and Taiwan（2026-06-01）https://thehackernews.com/2026/06/china-aligned-groups-ramp-up-attacks.html
• MITRE ATT&CK: Spearphishing Attachment T1566.001 https://attack.mitre.org/techniques/T1566/001/
• MITRE ATT&CK: Application Layer Protocol: Web T1071.001 https://attack.mitre.org/techniques/T1071/001/
• MITRE ATT&CK: Exfiltration to Cloud Storage T1567.002 https://attack.mitre.org/techniques/T1567/002/