Exchange/IISのN-day悪用とShadowPadで粘着侵入—アジアの政府・報道・活動家を狙う中国関連スパイ活動「SHADOW-EARTH-053」

今日の深掘りポイント

• ゼロデイではなくN-day悪用で面を取る運用力の高さが本質です。パッチ遅延と公開サーバの運用癖が最大の弱点になっています。
• 侵害組織の約半数が前攻撃セットと重複という事実は、「一度の駆除」では終わらない粘着的な対APT戦の現実を物語ります。根絶ではなく「再侵入前提の衛生管理」へ舵を切るべきです。
• ジャーナリスト・活動家も標的。機密の窃取だけでなく、認知と情報流通への影響工作まで視野に入る範囲の広さが懸念です。
• Exchange/IISを起点にWebシェル→ShadowPad→資格情報窃取→RDP横移動という“王道チェーン”。防御側の対策は、資産・パッチ・ログ・動態検知の4点セットの成熟度が問われます。
• 地域横断（南・東・東南アジア）に加えNATO加盟国1カ国が被弾。多国間での可視化と情報共有の遅れが「連鎖的な再侵入」を許している可能性が高いです。

はじめに

アジア各国の政府・防衛部門、そしてNATO加盟国の政府、さらにはジャーナリストや活動家までを標的にしたサイバースパイ活動が、Trend Microにより一時名「SHADOW-EARTH-053」として追跡されています。少なくとも2024年12月から継続し、Microsoft ExchangeやIISの既知脆弱性を突いてWebシェルで持続化、ShadowPadを展開するという定番の手筋です。マレーシア、スリランカ、ミャンマーを中心に、過去の「SHADOW-EARTH-054」と被害が半分ほど重なるという報告は、対APTの現場にとって重要な警鐘になります。今回のニュースは「地政学」だけでなく「運用の凡ミス」をどう埋めるかという、SOCとCISOの宿題をくっきり浮かび上がらせています。

出典は以下に示す通りで、現時点で公開情報に依拠して事実を確認し、編集部としての示唆は仮説であることを明示します。

深掘り詳細

事実関係（確認できる範囲）

• Trend Microが当該活動を「SHADOW-EARTH-053」として追跡。少なくとも2024年12月から観測され、標的は南アジア、東アジア、東南アジアの政府・防衛領域、NATO加盟国1カ国の政府、ジャーナリスト、活動家に及ぶと報じられています。
• アクセス獲得にはMicrosoft ExchangeおよびIISの既知（N-day）脆弱性を悪用。侵入後はWebシェルで持続化し、ShadowPadバックドアを配布して遠隔操作を確立する手口です。
• マレーシア、スリランカ、ミャンマーが顕著な標的国として挙げられ、被害組織の約半数は前回セット「SHADOW-EARTH-054」とも重複して侵害されていたといいます。
• 標準的な侵攻作法として、Mimikatzを用いた資格情報窃取、カスタムRDPランチャーによる横移動が確認されています。
• 出典: The Hacker Newsの報道（同紙がTrend Microの分析を要約）

上記は公開情報ベースでの事実関係であり、各TTPの詳細なIoCやオペレーター（特定集団名）への厳密な紐づけは本稿では扱いません。

編集部インサイト（仮説と示唆）

• N-day偏重は「攻撃者が保有する武器の少なさ」ではなく「コスパ最適化」の結果だと見るべきです。広域に展開する既知脆弱性は、ゼロデイに頼らずとも十分な到達率を提供します。CISOがハンドルすべきは“未知”より“未対応”です。
• 被害の重複は、初回駆除後の「恒常的な衛生管理（ログ監査、アクセス制御、特権クリーニング、公開面の構成見直し）」が不十分である組織が再侵入点として狙われることを示唆します。いわば攻撃者から見た「再訪価値の高い店」になっている懸念です。
• ジャーナリスト・活動家の巻き込みは、単純な機密窃取に留まらず、情報流通の事前把握・抑制・攪乱までを射程に入れた作戦設計を想起させます。国家間対立が高まる局面では、非政府アクターの端末・メール・クラウドが迂回路として使われやすいです。
• 地域横断の標的選定は、個々の国に閉じない「連携の綻び」を探る意図が透けます。異なる司法管轄・異なるMSSP・異なる監査基準の境界が、攻撃者にとっての抜け道になりやすいからです。

これらは公開事実からの推論であり、断定ではありません。実務に落とす際は自組織のテレメトリで裏取りすることを強く勧めます。

脅威シナリオと影響

以下は公開事実を基点にした想定シナリオ（仮説）で、MITRE ATT&CKに沿って整理します。

• シナリオ1：政府機関のメール・文書系からの継続的情報吸い上げ

  • 初期侵入: 公開サーバの既知脆弱性悪用（Exploit Public-Facing Application, T1190）
  • 持続化: Webシェル設置（Server Software Component: Web Shell, T1505.003）
  • C2確立: ShadowPadで遠隔操作（Application Layer Protocol: Web Protocols, T1071.001 想定）
  • 資格情報: MimikatzでLSASSから抽出（OS Credential Dumping, T1003）
  • 横移動: RDPによる踏破（Remote Services: RDP, T1021.001）
  • 収集・流出: ファイルサーバ/メールボックスから段階的に流出（Exfiltration Over C2 Channel, T1041）
  • 影響: 政策文書・通達・外交電報の先読みによる交渉上の優位、対内施策の事前把握が可能になります。

• シナリオ2：NATO加盟国1カ国を含む多国間連携の可視化と分断

  • 侵入から横移動まで上記と同様
  • 目標: 共同作戦・共有プラットフォーム・連絡窓口の図解と接点アカウントの把握（Discovery全般、T1087/T1046 など想定）
  • 影響: 複数国間の意思決定サイクルが遅延し、情報共有が防御的に萎縮。実害は「速度の低下」として現れます。

• シナリオ3：ジャーナリスト・活動家のアカウント乗っ取りを介した情報操作

  • 侵入経路は同様だが、標的はメーリングリストやDROPs（取材情報交換の非公開チャネル）
  • 影響: 記事化前情報の先読み、取材対象への圧力、さらには偽情報の混入経路の確保。短期的には露見しづらい“静かな影響”が懸念されます。

注記：C2手段、データ流出の具体手口、インフラ相関は未公開のため、上記のC2/Exfil技術は一般的なパターンに基づく仮説です。

セキュリティ担当者のアクション

現場で今日から回せる「運用寄りアクション」を優先順位つきで提案します。

• 優先1：公開面（Exchange/IIS）の衛生管理をSLO化

  • サポート中の最新版へ更新（セキュリティ更新SLOを“検出から7日以内適用”など具体化）を明文化します。
  • 不要なIIS仮想ディレクトリ・モジュールの棚卸しと無効化。公開面の「少ないほうが安全」の原則を徹底します。
  • WAF/CDNの仮想パッチでN-dayを短期吸収する運用ルールを作っておきます（恒久対処までの“橋渡し”として）。

• 優先2：Webシェル最短検知のランブック化

  • 典型的兆候のハントを定期運用に落とし込みます。
    • w3wp.exe（IIS）やw3wpからの子プロセスでcmd.exe/powershell.exeが起動される挙動
    • 既定外の場所に出現する.ashx/.aspx/.aspの新規作成と短周期のタイムスタンプ改ざん
    • IIS/ExchangeのHTTPログで、同一UA・固定間隔のPOST反復や長大パラメータを伴う不審アクセス
  • 見つけた場合は即時のコンテインメント（リバースプロキシ遮断、当該ホストのネットワーク隔離）とメモリ取得を優先します。

• 優先3：資格情報の“出血”を止める

  • LSASS保護（LSA Protectionの有効化）、WDigest無効化、不要なNTLMの停止など基本設定を再確認します。
  • 特権アカウントの分離（管理用端末・ジャンプサーバの専用化、MFAの徹底）。ローカル管理者パスワードのローテーションを自動化します。
  • RDPは必要最小限の到達制御（ネットワーク分離/Just-In-Timeアクセス）と、リモート接続の強制MFA化を即時適用します。

• 優先4：ログの“量より使い道”改善

  • 集約と保持：IIS/Exchangeのアクセスログ、セキュリティ監査（プロセス作成、認証イベント）、PowerShellログを相関できる期間で保持します。
  • 相関の型化：公開面ログのスパイク→w3wp子プロセス→新規DLL/スクリプト配置→外向き通信、の時系列テンプレートを作り、検出ルールを一段深くします。

• 優先5：再侵入を前提にした“事後”の固定化

  • 駆除の最後に「初期侵入ベクトルの恒久対処（設定変更・不要公開の閉塞）」が入っているかをチェックリスト化します。
  • 被害が重複しやすい部門・拠点を特定し、標的化リスク評価（人・資産・委託先）を四半期ごとに更新します。

• 優先6：外部連携と説明責任

  • 同盟・提携先、報道・市民団体と共有できる非機密のTTP・抑止策を“定型パッケージ”にして配布します。ジャーナリストや活動家に対しては、アカウント保護（MFA・セキュリティキー）とフィッシング耐性訓練の無償提供を検討します。
  • 情報公開の方針（被害の有無、復旧状況、再発防止策）を事前に用意し、インシデント時の信頼維持コストを下げます。

メトリクス全体からは、本件が「確度と継続性が高く、即応の価値がある」タイプである一方、単発のテクニカル対処で収まらない構造課題（資産・パッチ・ログ・権限管理）が中核にあることが読み取れます。したがって、初動はN-dayの対処とWebシェル検知に張りつつ、四半期単位での運用改善（SLO化・JIT運用・相関テンプレート化）までをワンセットで設計するのが、最短で“再訪価値のない組織”になる道筋です。

参考情報

• The Hacker News: China-Linked Hackers Target Asian Governments, NATO Country, Journalists with ShadowPad Malware（Trend Micro分析の要約）: https://thehackernews.com/2026/05/china-linked-hackers-target-asian.html

注記：本稿は上記公開情報を一次出典として参照し、技術的な対策やMITRE ATT&CKマッピングは一般的なTTPに基づく仮説として提示しています。各組織のテレメトリでの検証を前提にご活用ください。