欧州外交機関を狙うUNC6384、未修正のWindowsショートカット脆弱性をLNK経由で濫用しPlugXを展開

今日の深掘りポイント

• 未修正（ゼロデイ）のWindowsショートカット（.LNK）脆弱性が、欧州の外交・政府機関を狙った標的型メールで実運用的に悪用されている事案です。
• 攻撃はLNK→PowerShell→ローダ→PlugX（RAT）という多段チェーンで、ファイルレス寄りの実行やDLLサイドロードの余地を与える構造です。
• PRC関連とされるUNC6384の作戦で、欧州委員会/NATO関連テーマの誘引（ロア）を用いたスピアフィッシングが観測されています。
• 公表時点で未修正ゆえ、LNK遮断・ASR/WDAC/AppLocker・PowerShell制限・Egress制御・EDRの振る舞い検知を組み合わせた代替緩和がカギです。
• 当社スコアの「immediacy 9.00」「probability 8.50」「credibility 8.50」は“すでに起きており、組織で遭遇する確率が高く、情報の信頼性も高い”ことを示唆します。SOCは即応態勢でハンティングを回すべきです。

はじめに

外交・安全保障領域に対するPRC関連アクターの長期的な情報収集は、欧州域内の政策形成や多国間調整の位相に直結します。今回報じられたUNC6384は、未修正のWindowsショートカット（.LNK）脆弱性を梃子に、受信者のクリック1回で多段の実行チェーンを起動し、最終的にPlugXによる恒常的なリモートアクセスを確立します。脆弱性が「未修正」である点と、メール添付/配布LNKという日常業務に紛れやすいベクトルが重なることで、組織側の予防線が突破されやすいのが本件の難所です。

参考となる一次報道として、攻撃概要、アクター属性、LNK悪用とPlugX展開の関係が整理されています［参考1］。CVE-2025-9491（CVSS 7.0）とされるトラッキングや、ZDI-CAN候補の存在も報じられており、ゼロデイ相当の局面で緩和策を積み上げる現実的対応が求められます。

深掘り詳細

事実関係（確認されたポイント）

• アクターと期間: 中国関連のUNC6384が、2025年9–10月にかけて欧州の外交・政府機関を標的化したと報じられています［参考1］。
• 初期侵入: 欧州委員会やNATO関連イベントを想起させるテーマを使ったスピアフィッシング。添付/配布された悪意あるLNKファイルがトリガーです［参考1］。
• 脆弱性: 未修正のWindowsショートカット（.LNK）に関する欠陥が悪用され、クリックによりPowerShellコマンド等の実行へ誘導されます。報道ではCVE-2025-9491（CVSS 7.0）として追跡、ZDI-CANエントリ（ZDI-CAN-25373）に言及があります［参考1］。
• ペイロード: 多段チェーンの最終段でPlugX（RAT）が展開され、キーロギング、コマンド実行、ファイル操作、持続化など広範な機能によりリモート操作が可能になります。近年はメモリ常駐型のバリアントも観測されています［参考1］。
• 検知・対策: Microsoft Defenderでの検出・ブロック言及があり、クラウド保護・ASRといった防御機能の適用が前提になります［参考1］。

出典は下記「参考情報」を参照ください。上記細目は報道ベースであり、ベンダー公式アドバイザリ等の追加公開により変動する可能性があります。

編集部の見立て（戦略的含意）

• なぜLNKか: LNKは業務で正規利用されるうえ、ユーザーのクリックに依存する「UI/表示」の不一致や誤誘導を突きやすく、MOTWや拡張子ベースの単純なゲートを擦り抜けやすい特性があります。未修正のUI誤表記・混同につながる欠陥が残存しているなら、ソーシャル工学と脆弱性悪用が融合し、従来の「ユーザー教育＋ゲート」での防御が破られやすくなります。
• PlugXの意味: PlugXはPRC系スパイ活動で長年使われてきたRATで、DLLサイドロードや暗号化C2、ファイルレス寄りの実行と相性が良いです。単一の検知ルールに依存した対処は危険で、チェーン全体の振る舞い（親子プロセス関係、PowerShellオプション、サイドロードの実体、C2の生態）で粘り強く押さえる必要があります。
• ゼロデイ前提の運用: 未修正の段階では「ブレイク・ザ・チェーン」が鍵です。メール→LNK→PowerShell→ローダ→PlugXの各段に阻止点を用意し、最も業務影響の少ない箇所から強めのブロックを掛けていく優先度設計が重要です。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです（仮説であり、組織内テレメトリで検証することを推奨します）。

• シナリオA（政策文書窃取）

  • 初期アクセス: Spearphishing Attachment（T1566.001）
  • 実行: User Execution（T1204.002）、Exploitation for Client Execution（T1203）、PowerShell（T1059.001）
  • 永続化: Registry Run Keys/Startup Folder（T1547.001）またはサービス作成（T1543）
  • 防御回避: Masquerading（T1036）、Obfuscated/Compressed Files（T1027）、DLL Search Order Hijacking（T1574.001）
  • 資格情報: OS Credential Dumping（T1003）
  • 発見と横展開: Discovery（T1082/T1049等）、Lateral Movement（T1021）
  • C2: Application Layer Protocol（T1071）
  • 流出: Exfiltration Over C2 Channel（T1041）
  • 影響: 外交ブリーフ、交渉ポジション、会合議題の先取り窃取に直結します。

• シナリオB（対外代表部経由の連鎖侵入）

  • 代表部の端末でLNK起動→PlugXの持続化→使節団の共有基盤/クラウドIDに横展開→加盟国省庁の協業テナントへ覗き窓を形成
  • 影響: 多国間調整文書の広域露出、連絡網・連絡窓口のパターン解析による人的セキュリティリスク増大です。

• シナリオC（低ノイズ持続監視）

  • メモリ常駐型PlugXで低帯域C2、タスク化された収集のみ定期送信
  • 影響: 長期の不可視化により、インテリジェンス価値の高い断片が累積収集されます。

本件メトリクスの示唆

• immediacy 9.00: 進行中の攻撃で緊急度が非常に高いです。ゲートウェイとEDR側のブロック設定は「監査」ではなく「ブロック」運用に寄せる判断が必要です。
• probability 8.50 / credibility 8.50: 遭遇確率と情報の信頼度がともに高く、欧州関連組織のみならずサプライヤーやロビー団体にも波及する前提で想定すべきです。
• actionability 7.50: パッチ未提供でも、LNK遮断・ASR/WDAC・PowerShell制限・Egress制御・ハンティングで実装可能な具体策が多いです。
• novelty 7.00: 完全新規というより既知TTP（LNK/PlugX）に未修正欠陥が加わり成功率を押し上げる構図です。既存検知の「少しの穴」が突破口になります。
• magnitude 8.50: 侵害後の横展開と長期潜伏のポテンシャルが高く、外交・安全保障ユースケースでは事業インパクト換算で重大です。
• positivity 2.00: 防御側の追い風要素は限定的で、守りの強度次第という読みになります。
• 総合score 59.00/scale 8.00: 重要アラート帯の案件で、経営・CISOレベルの可視化対象に相当します。

セキュリティ担当者のアクション

未修正の状況を前提に、チェーンの各段で「具体的に止める」ための優先度付き提言です。環境や業務要件に応じて影響度を試験のうえ段階適用してください。

• 0–24時間（即応）

  • メール/ファイルゲート
    • .LNK添付・圧縮内.LNK（ZIP/RAR/7z）を一律隔離またはCDR（コンテンツ無害化）対象にします。営業/広報など必要部門は申請制の例外運用にします。
    • 外部共有ストレージからのLNKダウンロードをプロキシで遮断します（拡張子ベース＋MIMEシグネチャ確認）。
  • EDR/AV
    • Microsoft Defenderのクラウド保護と「Block at First Sight」を有効化し、ASRを“ブロック”モードで適用します（Office子プロセス生成禁止、rundll32/scripthost濫用対策など関連ルール群）。
    • PowerShellのConstrained Language Modeを高リスク部門で強制し、Script Block/Module/Transcriptionログを有効化します。
  • ハンティング（初期）
    • explorer.exe/Outlook/Teams等を親とするpowershell.exe起動（-w hidden, -nop, -enc を含む）を横断抽出します。
    • 不審なrundll32.exeの実行（ユーザープロファイル下やTemp配下DLLの読み込み、正規バイナリ隣接DLLのロード）を洗い出します。
    • 新規/最近作成のLNKでTarget欄にPowerShell/コマンドインタープリタを含むものを棚卸します。

• 24–72時間（堅牢化）

  • 実行制御
    • WDAC/AppLockerでユーザ領域からのスクリプト/不明署名バイナリ/LOLBin（rundll32, regsvr32, wscript, mshta 等）を制限します。
    • 高機密端末でのLNK実行を原則禁止し、必要時は仮想隔離環境で開く手順に変更します。
  • ネットワーク/Egress
    • プロキシで未知SNI・年齢の若いドメイン・国際CDNを装う低信頼ホストへのPOST長大URI通信を段階的に遮断/サンドボックス転送します。
    • DNS/HTTP振る舞いの希少化検知（ユーザー単位の新規FQDN、ユーザーエージェント異常、JA3/ALPNの希少性）を導入します。
  • ログ/可視化
    • Sysmon（Event ID 1/7/11/22/23）やWindows 4688/7045を活用し、親子プロセス・ドライバ/サービスインストール・コードインテグリティ失敗を可視化します。

• 1–2週間（持続対策）

  • 人的対策
    • 外交・政策・渉外部門向けに「LNKの業務外使用を避ける」「拡張子とアイコンの不一致に注意」などテーマ特化の再教育を実施します。
  • テスト/検証
    • Purple TeamでLNK→PowerShell→DLLサイドロードの模擬チェーンを実行し、検知/阻止ポイントの穴を特定・是正します。
  • ガバナンス
    • 例外承認フロー（LNKの一時受領・検査・解放）のSLAを整備し、現場が“ブロックを回避するために私物クラウドを使う”事態を防ぎます。

• パッチ提供までの代替緩和の要点

  • 「入口（LNK）」と「中核（PowerShell/LOLBin）」を同時に締めることが重要です。どちらか一方の制御では抜け道が残ります。
  • “正規LNKの業務必要”に対しては、部門単位の許可リスト＋隔離開封で運用します。

• インシデント対応の着眼

  • PlugXはファイルレス/暗号化C2を併用するため、ディスクI/Oに頼らず、プロセス注入・スレッド作成・不審メモリ領域（RWX/未署名）など実行時挙動で突きます。
  • 収集対象（キーストローク、クリップボード、機密ディレクトリ）のアクセス痕跡を追い、外向けセッションと相関します。

注意: 上記は攻撃観測情報と一般的TTPに基づく防御ベストプラクティスの提示であり、攻撃手法の再現や悪用を助長しない範囲で記述しています。技術的詳細は検知・防御の観点に留めています。

参考情報

• The Hacker News: China-Linked Hackers Exploit Windows Shortcut Flaw to Target European Diplomats（2025-10-31）https://thehackernews.com/2025/10/china-linked-hackers-exploit-windows.html

注記:

• CVE-2025-9491、CVSS 7.0、ZDI-CAN-25373、Microsoft Defenderでの検出・ブロックといった属性は上記公開情報の記述に基づきます。公式アドバイザリやパッチの公開に伴い更新が生じる可能性があるため、最新のベンダー情報を必ず確認してください。