PRC支援の新バックドア「BRICKSTORM」がvSphereに長期潜伏、スナップショット窃取と“隠しVM”で管理平面を掌握します

今日の深掘りポイント

• 仮想化の管理平面（vCenter／ESXi）に直接侵入するスパイ活動は、エンドポイントEDRの視界外で「環境丸ごと」を俯瞰できるため、検知・排除の難易度が一段上がります。
• 報道によればBRICKSTORMはGo製バックドアで、vSphere環境でのスナップショット窃取や“隠れたVM”の作成を通じて長期潜伏を実現します。管理者・サービスアカウントの悪用が鍵になります。
• いま必要なのは「vCenterのゼロトラスト化」。具体的には、管理プレーンの外向き通信遮断、スナップショット関連タスクのリアルタイム監査、サービスアカウントのローテーションと最小権限化、ESXi Lockdown Modeの適用です。
• メトリクスの印象（緊急性・実行可能性が高い一方で新規性は中程度）どおり、未知の“ゼロデイ”に飛びつくのではなく、既存の運用で閉じ切れていない管理平面の「穴」を今すぐ塞ぐことが最大の効果に直結します。

はじめに

CISA、NSA、カナダのサイバーセンターが、中国（PRC）支援のアクターによる新バックドア「BRICKSTORM」を用いた長期スパイ活動に注意喚起したと報じられています。BRICKSTORMはGo言語で実装されたバックドアで、VMware vSphereプラットフォーム（vCenter／ESXi）を標的に、仮想マシンのスナップショット窃取や“隠れたVM”の作成による持続化を図るとされています。現時点で本稿が一次資料として確認できるのは報道記事であり、公式アドバイザリの詳細（IOCやC2、手口の完全な再現性）は今後の公開に依存します。本稿では入手可能な情報を起点に、仮想化層を狙う脅威の本質と、いま取れる実装レベルの対策にフォーカスして整理します。

参考（報道）:

• Hackread: Chinese State Hackers Use New BRICKSTORM Malware to Target VMware Systems（CISA/NSA/カナダ当局の警告に関する報道）
  https://hackread.com/chinese-state-hackers-brickstorm-vmware-systems/

仮想インフラのハードニング:

• VMware vSphere Security Configuration Guide（公式）
  https://core.vmware.com/security-configuration-guide

MITRE ATT&CK参照:

• Enterprise Matrix（公式）
  https://attack.mitre.org/matrices/enterprise/

深掘り詳細

事実（報道から読み取れる点）

• BRICKSTORMはGo製バックドアで、ターゲットはVMware vSphereプラットフォームです。報道では、仮想マシンのスナップショットを窃取することで資格情報（ユーザー名／パスワード）を引き出し、さらに“隠れたVM”を用いることで長期持続化を実現できるとされています。
  出典: Hackread（上記リンク）
• 初期侵入は境界上のWebサーバ侵害→盗まれたサービスアカウントで横展開→vCenterへのBRICKSTORM展開→自己再インストールによる持続化、という流れが示唆されています。通信は暗号化され、C2とのやり取りを難読化する特性が指摘されています。
  出典: Hackread（上記リンク）

注意: 上記は報道に基づく要約であり、CISA/NSA/カナダ当局の一次アドバイザリ本文（IOC、TTPの完全な羅列）は本稿執筆時点で未確認です。IOCの適用やハントを行う際は、今後公開される一次資料の確認と差し替えが必要です。

インサイト（なぜ仮想化層が狙われ、どこが痛点か）

• 管理平面を押さえると“環境の地形図”が丸見えになります。vCenterに到達できれば、すべてのVM・ネットワーク・ストレージの関係、Snapshot/Clone/Storage vMotionといったタスク操作履歴や権限体系まで広範に把握・操作できます。EDRはゲストOS寄りの可視性に強みがある一方、仮想化レイヤのAPIイベントや管理タスクまではカバーしきれません。攻撃者はこの“観測の非対称性”を突きます。
• スナップショット窃取の厄介さは、資格情報の“静的化”にあります。ゲストOS内で認証情報をメモリ・ディスクから動的に奪うより、スナップショットとして取得・持ち出してオフライン解析する方が静かでバレにくい場合があります。監査の焦点は「ゲストの中」から「vCenterの外科的な操作」にシフトします。
• “隠れたVM”は、検証用・バックアップ用・一時的ワークロードに紛れても目立ちません。インベントリ未登録のVM（ESXi直登録）、命名規則から逸脱した異常な名称やタグ、ストレージ上の孤児ディスク、過度に古いスナップショットなど、運用ノイズと攻撃痕の境界が曖昧になりがちです。攻撃者の持続化は「運用の不整合」に寄り添うほど成立しやすくなります。
• メトリクスの示す緊急性・実務性の高さから読み取れるのは、「ゼロデイ前提」ではなく、「既存の権限・運用のほつれ」を糸口に侵入・定着してくる現実です。したがって、最小権限・外向き通信の閉塞・スナップショットのガバナンス・イベント監査など“地味だが効く”統制の徹底こそが最優先の投資先になります。

検知・可視化の難所（だからこそ何を見るか）

• vCenterのイベント監査に寄せるべきです。スナップショット/クローン/登録・解除/ストレージ移行などの管理タスクは、ゲスト内EDRよりもvCenterのイベントで見える領域です。公式のセキュリティ構成ガイドのラインに沿い、管理プレーンの監査ログを中核SIEMに統合する体制が必須です。
  参考: vSphere Security Configuration Guide（上記リンク）
• サービスアカウント監査が鍵です。権限ロールの棚卸し（誰がSnapshot/Cloneできるか）、認証情報の保管（Secret管理）、利用時間帯・接続元ネットワークの制約、直近の権限昇格やロール変更の差分追跡など、運用の“変更点”を攻撃者の持続化シグナルとして扱います。

脅威シナリオと影響

以下は、報道内容を基にした仮説シナリオと、MITRE ATT&CKに沿った技術要素の整理です。一次資料の公開後に見直す前提で活用してください。

• シナリオA（政府系／大規模IT網）

  • 初期侵入: DMZのWebサーバ侵害
  • 横展開: 盗難サービスアカウントで管理ネットワークへ移動、vCenter到達
  • 持続化: vCenter上でBRICKSTORM展開、自己再インストールやタスク登録
  • 情報収集: DCやIdPを含む重要VMのスナップショット作成・複製
  • 影響: 機密データの広範な可視化、認証基盤の完全性喪失、長期潜伏

• シナリオB（MSP／クラウド隣接）

  • MSPのvCenterがハブとして悪用され、複数テナント環境に横展開
  • テナント間の論理分離破り（誤設定の利用）により波及的被害

• シナリオC（重要インフラの運転環境に近接）

  • OTに隣接するIT仮想基盤での潜伏により、監視系や補助系への継続アクセスを確保

MITRE ATT&CKマッピング（仮説）

• Initial Access: Exploit Public-Facing Application（T1190）, Valid Accounts（T1078）
• Execution: Command and Scripting Interpreter（T1059）
• Persistence: Valid Accounts（T1078）, Create/Modify System Process（T1543）, Scheduled Task/Cron（T1053.003）
• Privilege Escalation: Exploitation for Privilege Escalation（T1068）
• Defense Evasion: Impair Defenses（T1562）, Hide Artifacts（T1564）
• Credential Access: OS Credential Dumping（T1003）, Unsecured Credentials（T1552）
• Discovery: Remote System Discovery（T1018）, Account Discovery（T1087）, Virtualization/Sandbox Discovery（T1497）
• Lateral Movement: Remote Services（T1021）
• Collection: Data from Local System（T1005）, Credentials from Password Stores（T1555）
• Command and Control: Application Layer Protocol（T1071）, Encrypted Channel（T1573）
• Exfiltration: Exfiltration Over C2 Channel（T1041）

想定インパクト

• 構成管理・認証・監査の“根”に位置する管理平面への侵害は、個別ホストの汚染に比べ、復旧コスト・時間・意思決定負荷が桁違いに増大します。ドメイン管理者資格情報や秘匿鍵、SSOトークン素材の漏えいは、侵害の時間軸を長期化させます。運用現場の観点では「vCenter再構築＋全アカウント／証明書の再発行」すら現実的な選択肢になります。

セキュリティ担当者のアクション

一次アドバイザリのIOC入手まで待たずに、今日から回せる運用アクションを列挙します。優先度は「管理平面の封じ込め」→「イベント監査の即応性」→「資格情報衛生」の順で考えます。

1. 管理プレーンのゼロトラスト化

• vCenter／ESXiの外向き通信は原則遮断（OS/パッチ取得は専用プロキシ経由かミラー）。インターネット直出しを禁止します。
• 管理ネットワークを完全分離（専用VLAN/VRF）。ジャンプホスト経由の多要素認証を強制します。
• ESXi Lockdown Modeを有効化、DCUI・SSHを原則無効化（緊急時のみ一時的に許可）します。
  参考: vSphere Security Configuration Guide（上記リンク）

2. 監査・ハンティング（vCenterイベントに寄せる）

• 監視すべき代表的タスク/イベント（例）
  • CreateSnapshot / RemoveAllSnapshots / RevertToSnapshot
  • CloneVM / RegisterVM / UnregisterVM
  • RelocateVM（Storage vMotion）／Import/Export OVF
  • 権限ロール変更／ユーザ追加・削除／SSO構成変更
• 直近30～90日のベースラインを作り、以下をアラートにします。
  • 管理時間外のスナップショット・クローン作成
  • サービスアカウントによる上記操作（普段は実施しないはずの権限行使）
  • 未知の管理端末／セグメントからのvCenterログイン
  • 急増する失敗ログインと直後の成功ログイン（パススプレー兆候）
• vCenter/ESXiのログを中央SIEMへ集約、保管期間を十分に確保します（侵害が長期化する前提で、半年〜1年相当の保持を検討します）。

3. サービスアカウントと権限衛生

• vCenterロールの棚卸し：Snapshot/Clone/Relocateが可能なロールを洗い出し、運用要件に合わせて最小化します。
• サービスアカウントの用途別分離、鍵・パスワードの定期ローテーション、IP・時間帯制約、不要権限の削除を直ちに実行します。
• SSOの外部ID連携（AD/IdP）での高権限委譲を見直し、グループベースの間接付与に潜む過剰権限を是正します。

4. スナップショット・“隠しVM”対策

• スナップショットのライフサイクル管理を徹底し、長寿命スナップショットを禁止・自動削除します（運用ポリシーとアラーム化）。
• インベントリとデータストアの差分監査を定期実施し、未登録VM・孤児VMDK・想定外のテンプレートを洗い出します。
• DCや認証基盤VMのスナップショット権限は厳格に限定し、作成時は都度承認・チケット必須とします。

5. 端末・ネットワークの補強

• vCenterサーバ（VCSA）や管理端末上での不審プロセス・新規常駐の監視を強化します。未知のGo製バイナリをヒューリスティックに検知できるよう、サイズ・自己完結型（静的リンク）・不審な外向きTLSの観点でアラート設計を見直します（一般論としての検知指針であり、BRICKSTORM固有IOCは今後の一次資料を参照します）。
• egress制御はデフォルト拒否＋宛先FQDN/PKIピン留めの許可リストで運用します。

6. インシデント対応の備え（想定訓練）

• vCenter侵害を前提とした演習を行い、「再構築に要する時間・順序・責任分担」「全認証素材の再発行」「バックアップの信頼性検証（改ざん検知）」をドライランします。
• 重要な秘密情報（IdP秘密鍵、vCenter証明書、バックアップリポジトリ資格情報）が露出した場合の“総入れ替え”手順を文書化しておきます。

最後に、一次アドバイザリが公開され次第、IOCの照合・ハンティングクエリ・遮断リストを上記運用の各ポイントに即時で流し込み、基盤側の統制（通信・権限・監査）とIOCドリブン検知の両輪で短期・中期のディフェンスを回していくことを推奨します。仮想化層を押さえられると「すべてが見られる」前提で考え、管理平面の最小化と可視化を当たり前の水準まで引き上げることが、もっとも投資対効果が高い対策になります。