EU政府ネットワークに潜伏する中国系「Ink Dragon」──域内信頼境界を逆手に取るリレー化と長期潜伏の実像

今日の深掘りポイント

• 地理的に「安全」と見なされやすい欧州域内の政府系サーバーを“リレー・ノード化”し、指揮統制や横移動の痕跡を希釈する手口が核心です。
• 初期侵入はMicrosoft IIS/SharePointの脆弱性や設定ミスの悪用が軸で、侵入後は管理者セッションの探索とドメイン権限奪取に収斂します。
• ネットワーク上の通常運用（RDPやSharePointの大量通信）に紛れる「生活の中のラテラルムーブメント」が検知を難しくします。
• メトリクス上の確度・即応性は高めと評価でき、インフラ衛生・IDガバナンス・横移動抑止の3点に同時に手を打つ必要があります。
• 日本の行政・重要インフラでも、EU発の接続や委託先からのアクセスを“信頼”でホワイトリスト化している運用は、同種の隠れ蓑化に直結します。

はじめに

中国に関連する脅威グループ「Ink Dragon」が、欧州の政府ネットワーク内部で長期的なサイバー諜報活動を展開しているとの報が出ています。特徴的なのは、誤設定されたサーバーを中継点（リレー・ノード）として組み込み、攻撃起点やC2の所在を曖昧化する運用です。初期侵入にIISやSharePointの脆弱性・設定不備を突き、その後は認証情報収集と権限昇格、ドメインレベルの持続的バックドア化までを静かに進める、典型的な「潜伏重視」の対政府スパイ・プレイブックに沿っています。

この種の作戦は、IP評判や地域的な信頼境界に依存する従来の防御を空洞化させやすく、帰責（アトリビューション）や検知・阻止の難易度を押し上げます。欧州域内の機関間連携や委託先の運用に対し、ゼロトラストの原則をいかに現実的に適用するかが問われます。

公開情報は現時点で限定的ですが、実装の癖とオペレーションの丁寧さから、即応と中長期の態勢強化を並走させるべき案件と捉えるべきです。

参考: Infosecurity Magazineの報道

深掘り詳細

事実整理（公開情報ベース）

• 誤設定サーバーを悪用してリレー・ノード網を構築し、攻撃の出自や横移動のトレイルを隠蔽します。
• Microsoft IISやSharePointの脆弱性・設定ミスを探索し、侵入の足掛かりにします。
• 侵入後は環境内で目立たずに移動しつつ、認証情報を収集、管理者セッションの有無を特定します。
• ドメイン権限（Domain Admin/Enterprise Admin等）に相当するアカウント把握を目標に据え、長期持続のためバックドアを配置します。
• RDPなどの正規プロトコルを用いて通常トラフィックに紛れ、環境の詳細なマッピングを行います。

上記は現時点の公開報道に基づく要約で、具体的なCVEやツール・ペイロードの固有名は明らかではありません。IISのWebシェル化やSharePointの権限昇格連鎖、AD周りの定番TTP（資格情報窃取、DCSync等）と整合的なストーリーではありますが、個々の技術要素は仮説であり断定は避けます。

編集部インサイト（示唆と含意）

• 域内信頼の逆利用: 欧州政府機関間や委託先からのアクセスは、ホワイト寄りの扱いになりやすいです。このバイアスを逆手に取ったリレー化は、地理・評判に依存するコントロールの限界を突きます。日本でも「海外だが信頼済み」扱いの運用（国際機関・大手ベンダーPoP等）が当てはまり、同じ盲点を抱えます。
• 「運用ノイズ」の盾: RDP/SMB/SharePointは管理・業務で多用されます。プロセスツリー異常やログオン型（Type 3/10等）の振る舞い、サービス作成・スケジュールタスク生成などの“ふるまい”に寄せないと、通信量だけでは埋もれやすいです。
• 目標は「権限の地の利」: 管理者セッションの探索は、特権昇格を短絡化する実践的アプローチです。アカウント自体ではなく「どこにログインしているか」を狙う点が実戦的で、Tier分離をしていない環境や常時特権アカウント使用の現場は特に脆弱です。
• メトリクス考察: 新規性は中程度でも、確度・即応性は高く、持続的な潜伏による影響の深さが懸念です。対処の肝は「今ある露出の迅速な減算」と「ID・横移動・持続化の三位一体の抑止」で、単発パッチやネットワークACLの更新だけでは足りません。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説ベースのシナリオです。具体的なCVEやツールは特定情報がないため一般化して記載します。

• シナリオA: Web公開面からの侵入とWebシェル化

  • 初期侵入: 公開IIS/SharePointの脆弱性・設定ミス悪用（T1190: Exploit Public-Facing Application）
  • 実行・持続化: IISワーカープロセス配下でのWebシェル/モジュール設置（T1505.003: Server Software Component、Web Shell）
  • 資格情報: LSASS/DPAPI/ブラウザからの抽出（T1003: OS Credential Dumping、T1555: Credentials from Password Stores）
  • 権限昇格: 権限不備やトークン操作（T1068: Exploitation for Privilege Escalation、T1134: Access Token Manipulation）
  • 発見・横移動: 管理者セッション探索、RDP/SMB/WinRMでの移動（T1018: Remote System Discovery、T1021.001: Remote Services-RDP）
  • AD支配: DCSync/チケット偽造等（T1003.006: DCSync、T1558: Steal or Forge Kerberos Tickets）
  • コマンド&制御: HTTPS/TLS上の多段プロキシ（T1090: Proxy、T1090.003: Multi-hop Proxy、T1071.001: Web Protocols）
  • 情報収集・流出: 文書・メール・SharePointコンテンツ（T1114: Email Collection、T1083/T1087: Discovery、T1041: Exfiltration Over C2 Channel）

• シナリオB: 誤設定サーバーの“踏み台インフラ化”

  • 侵入済み第三者サーバーをリレーとして鎖状に構築（T1090.003）
  • 地理・評判に依存する防御をバイパスし、政府間/委託間の信頼境界に紛れる
  • イベントの相関解析やトラフィックの起点帰責を難化させ、ディテクション/レスポンスの時間を稼ぐ

• シナリオC: 受託・下請けからの権限継承

  • 中小の委託先から入って親機関の特権に連鎖（T1199: Trusted Relationship）
  • IDフェデレーション/VPNの設定ミスを伴うと、短時間でドメイン権限へ到達

影響面では、外交・政策文書、対外交渉計画、人事・会計などの機微データが長期的に収集されるリスクが高く、政策決定プロセスの事前把握・撹乱に利用され得ます。さらに、侵入拠点がEU域内インフラに偏在することで、国際的な帰責手続きや共同防御の合意形成も難化します。

セキュリティ担当者のアクション

短期の露出削減、検知強化、構造的な再発防止を並走させるロードマップが現実的です。

• 攻撃面の閉塞（攻撃面管理/ASM）

  • 公開IIS/SharePointの全面棚卸し（インターネット露出、不要機能、既知設定ミス）
  • リバースプロキシ/ARR/URL Rewriteの誤設定によるオープンリレー化の有無を監査
  • 管理境界にあるRDP/WinRM/SMBの外部露出禁止、内部でもセグメント跨ぎは明示許可制にします

• アイデンティティ強化（IDガバナンス）

  • Tier分離（管理者は専用ジャンプホスト・専用端末、業務端末での特権保持を禁止）
  • JIT/PIMで特権の時間制約化、特権アカウントの常時ログオン廃止
  • LAPS/LAPS for Azureでローカル管理者パスワードを自動ローテーション
  • NTLM縮退とKerberos強化、LSASS保護（PPL）を有効化します

• ふるまい検知の具体化（EDR/SIEMハント）

  • IISサーバーでのw3wp.exe配下からのプロセス生成（cmd.exe、powershell.exe、rundll32.exe等）を高優先度検知
  • 新規のIISモジュール/ハンドラ追加、Webルートの不可解なASPX/JSP/PNG偽装ファイルの差分監査
  • SharePoint ULS/Windowsイベントでの予期せぬプロセス生成、サービス作成（Event ID 4688/7045/4697）を相関
  • 異常なログオンパターン（Event ID 4624 Type 3/10の横移動鎖、短時間での多ホスト移動、時間外/新規端末）を検出
  • Kerberos関連異常（短時間のService Ticket要求急増、AESでない古い暗号、RC4利用、DCSync疑いのDirectory Replication API呼び出し）

• 横移動の抑止（ネットワーク）

  • 東西トラフィックのマイクロセグメンテーション、RDPはジャンプホスト経由のみ
  • SMB署名必須化、管理共有（C$, ADMIN$）の常時公開抑制
  • DNS/HTTPの発信をEgress制御し、多段プロキシ化の足場を減らします

• 持続化の可視化と撹乱

  • GPO/スクリプト/スケジュールタスク/サービスの差分監査を日次で自動化
  • ADのAdminSDHolder/ACL変更監視、影の管理者（影響範囲の大きい権限委任）の検出
  • ハニートークン（偽の高価値資格情報・偽SPN）を配置し、横移動検出のトリップワイヤにします

• インシデント・プレイブックの整備

  • 「IIS/SharePoint侵害→AD横移動→DCSync」の想定で封じ込め・根絶・回復（駆動順序、証跡保全、キー材ローテーション、ゴールデンチケット対策）を定義
  • EU/海外拠点・委託先からのアクセスを“信頼”で特例扱いしないゼロトラスト原則を契約・ガバナンスに織り込みます

• 運用メトリクスの見直し

  • 地理・IP評判に過度依存のブロック/許可を削減し、ふるまい・ID・資産健全性に重み付けしたリスクスコアへ移行します
  • 攻撃面減算（露出ホスト数、開放RDP/SMB数、IISモジュール棚卸し完了率）と、横移動検知のMTTD/MTTRを指標化します

現時点の情報からは、新奇性よりも「運用一体型の回避（地域・信頼境界・正規プロトコル）」に真価があり、確度と即応性が求められる局面です。攻撃面の減算とID・横移動抑止の強化を二段ロケットで進めることが、最短で効果を出す道筋です。

参考情報

• 報道: Chinese ‘Ink Dragon’ Hides Inside European Infrastructure
• フレームワーク: MITRE ATT&CK