CISAが警告：PRC支援アクターがBRICKSTORMでvSphere/Windowsに長期潜伏し、マルチプロトコルC2で検知回避を図っています

今日の深掘りポイント

• 仮想化管理プレーン（vCenter/ESXi/管理用Windowsサーバ）はEDR適用や監視の死角になりやすく、長期潜伏の温床になりやすいです。
• BRICKSTORMはHTTPS／WebSockets／DNS-over-HTTPSを使い分ける多層C2で、プロキシ越えや正規トラフィック偽装に強く、従来の検知ロジックを空洞化させます。
• 初期侵入はエッジ機器（VPN/SSL-VPN等）からの侵入→仮想化基盤への横展開という「王道ルート」が最も現実的です（仮説）。日本でも同様のアーキテクチャが普及しており、対岸の火事ではないです。
• 地政学的に「仮想化基盤の掌握＝組織の運用権限の掌握」と等価で、事業継続・復旧力に直結します。セグメンテーション、最小権限、管理プレーンのアウトバンド通信制御が鍵です。
• 緊急性と信頼性が高い報告であり、短期のハンティングと恒久的なアーキテクチャ改善の両輪で臨むべき案件です。

はじめに

米CISAは、PRC（中国）支援の脅威アクターがBRICKSTORMと呼ばれるバックドアを用い、米国内のvSphereおよびWindows環境に長期的アクセスを維持していると警告しました。対象は政府とITセクターが中心とされ、BRICKSTORMはHTTPSやWebSockets、DNS-over-HTTPS（DoH）等の複数プロトコルを使い分ける高度なC2能力を備えると報じられています。影響組織数や流出データの詳細は非公開ですが、静かに潜り続ける「事前配置（pre-positioning）」の色が濃いインテリジェンス主導の作戦様態が示唆されます［出典は末尾参照］です。

本件は単なる新種マルウェアの話にとどまらず、「仮想化基盤＝組織の運用権の単一障害点」という現実を突きます。検知回避に長けたC2と、監視が手薄になりやすい管理プレーンの組み合わせは、検出難度と事業リスクを同時に引き上げます。実運用では、短期のハンティングと中長期のアーキテクチャ是正を並走させる意思決定が重要です。

深掘り詳細

事実整理（公表内容から読み取れること）

• PRC支援アクターがBRICKSTORMを使用し、米国内のvSphereおよびWindows環境に長期潜伏しているとCISAが警告しています。対象は主に政府とITセクターです。
• BRICKSTORMはGolang製のカスタム・インプラントで、対話型シェル、ファイル操作、コマンド実行といったバックドア機能を提供します。C2はHTTPSやWebSockets、さらにはDNS-over-HTTPSといった複数プロトコルに対応し、正規トラフィックへの偽装と経路多様化で検知を困難にします。
• 影響組織や流出データの種類は非公開で、アクターの戦術進化が強調されています。
• 一部報道では、2024年にMandiantがBRICKSTORMを文書化し、Ivanti Connect Secureのゼロデイ悪用との関連が指摘されています（出典は参考情報）です。

上記はいずれも公開報道に基づく情報で、CISA自体の詳細アナウンスの（少なくとも現時点での）数値的内訳は示されていません。特定の侵入ベクトル、インフラ構成、固有のIOCは限定的にしか明らかになっていない前提で、守り手は汎用性の高い仮説ベースのハンティングと統制強化で臨む必要があります。

インサイト（検知・防御の難所と運用への示唆）

• 管理プレーンの死角化問題です。vSphere管理ネットワークや管理用Windowsサーバは、特権アクセス制御の厳格化と裏腹に、EDRの未展開・例外化、プロキシ/SSL検査の回避、監視ログの希薄化が同時に起こりがちです。ここにHTTPS/WebSockets/DoHを使い分けられると、可視性はさらに低下します。
• マルチプロトコルC2は「部分最適」なブロックをすり抜けます。例えばWebSocketsの外向き通信を許容するリバースプロキシ構成や、社内ブラウザの都合でDoHエンドポイントが散在する環境では、ポリシーの穴を突かれる可能性が高いです。C2の実体が動的に切り替わる設計は、単一IOCや単一制御点への依存を無効化します。
• 初期侵入からの横展開の現実性です。エッジVPN/SSL-VPN機器の脆弱性を突かれた後、認証情報窃取や内部スキャンを通じて仮想化管理プレーンに到達するシナリオは過去事例でも繰り返されています（仮説）。管理プレーンに侵入されると、ゲストVM/テンプレート/スナップショット/バックアップまで影響し、可用性・保全性・復旧性が一度に脅かされます。
• インシデント対応の難化です。仮想化基盤に常駐したバックドアは、ゲストOSのIRだけでは発見しづらく、ホストやvCenter側でのフォレンジック（vpxd/hostdログ、権限・タスク・プラグインの監査）が不可欠です。平常時からの監査基盤設計が勝負を分けます。
• 地政学的含意です。重要インフラや大規模事業者の仮想化基盤を静かに掌握・維持することは、平時の情報収集に加え、有事の遅延・撹乱オプションとして機能し得ます。これは日本の事業継続計画（BCP）や地域経済のレジリエンスにも直結する論点です。

脅威シナリオと影響

以下は公開情報を踏まえた仮説ベースのシナリオとMITRE ATT&CK対応付けです。個別環境により前提は異なるため、現場での検証を前提としてください。

• シナリオA：エッジ機器経由での仮想化基盤到達と持続化（仮説）

  • 初期侵入: 公開アプリ脆弱性悪用（T1190）
  • 認証情報獲得: 資格情報ダンピング/収集（T1003/T1555）
  • 発見/横展開: ネットワーク探索（T1046）、リモートサービス悪用（T1021）
  • 仮想化基盤: vCenter/管理用Windowsへの侵入、スケジュール/サービスによる持続化（T1543/T1547）
  • C2: Webプロトコル（T1071.001）、DNS/DoH（T1071.004）、暗号化通信（T1573）
  • 防御回避: ログ改変・停止（T1070/T1562）
  • 影響: 管理者権限の恒常的維持、スナップショット経由のデータ前時点復元と痕跡隠蔽、バックアップ汚染

• シナリオB：サプライチェーン経由の事前配置（仮説）

  • 初期侵入: MSP/ITベンダ経由の信頼関係悪用（T1199）
  • 権限昇格/横展開: 正規アカウント乱用（T1078）、クラウド/仮想化API探索（T1526相当の環境探索）
  • C2: WebSockets/HTTPSの併用でプロキシを横断（T1071.001）
  • 影響: 横断的な監視網の視界外での潜伏、複数テナント同時リスク

• シナリオC：長期潜伏からの選択的情報窃取（仮説）

  • 収集: ローカルデータ/共有リソース（T1005/T1039）
  • 送出: Webサービス経由/既存C2チャネル（T1567.002/T1041）
  • 影響: 静的なデータ流出では痕跡が薄く、気づいた時には長期の競合優位性を奪われる

実務上の示唆として、DoHやWebSocketsといった「正規でも使い得る」プロトコルに対するゼロトラスト的許可制の適用と、管理プレーンのアウトバウンド通信全面禁止（例外は明示的承認のアップデートサイトのみ）を合わせることで、C2の自由度を大きく削ぐことが可能です。

セキュリティ担当者のアクション

優先順位づけを前提に、短期のハンティングと中長期の構造改革を併走させてください。

• 0–48時間（緊急対応）

  • 管理プレーンの可視化と遮断です。
    • vCenter/ESXi/管理用Windowsサーバの外向き通信を直ちに棚卸しし、原則ブロック＋必要先の許可リスト方式に切り替えます（特にHTTP(S)のCONNECT/Upgradeヘッダを監査し、WebSockets外向きは原則禁止）です。
    • DoHは組織が承認した解決サービス以外をネットワークで遮断し、ブラウザ/OS設定からも無効化または強制リダイレクトします。
  • 迅速ハンティング（仮説ベースの検知観点）
    • ネットワーク: サーバセグメントからの外向きWebSocketハンドシェイク（HTTP 101 Switching Protocols / Upgrade: websocket）の有無、管理サブネットからのDoHエンドポイントへのTLS接続の有無をSIEM/プロキシで洗い出します。
    • アイデンティティ: vCenterの全管理者権限（Global Permissions）と新規IDソース追加、最近30日間の権限変更/ユーザ作成/スケジュールタスク作成を監査します。
    • ホスト/ゲスト: 管理用Windowsでの新規常駐サービス/ドライバ、予定外の自動起動設定（Run Keys/タスクスケジューラ）、最近作成され実行権限を持つ不審バイナリ（特にGo言語由来の大きな静的リンクバイナリに見えるもの）を確認します。
    • ESXi側（一般論の観点）: 不審なrc.local（rc.local.d/local.sh）改変、未知のVIB導入、ファイアウォール例外、恒常的なSSH有効化を点検します。
  • 侵入経路の洗い出しです。
    • 直近のエッジ機器（VPN/SSL-VPN/ロードバランサ）のパッチ適用状況、設定改変、管理アクセスログを突合します。異常があれば即座にパスワード/証明書の全ローテーションを検討します。

• 2–4週間（封じ込めと再発防止の着手）

  • 管理プレーンの分離と強化です。
    • 物理/論理ネットワークで管理プレーンを分離し、インターネット直結を排除します。管理アクセスは踏み台（PAW/ジャンプボックス）経由、FIDO2等の強固な多要素で限定します。
    • vSphereのロギング（vpxd/hostd/SO/SRM等）を集中収集し、監査ルール（新規プラグイン/拡張、スケジュールタスク、権限変更）をSIEMでルール化します。
    • バックアップの健全性検証（immutable/隔離コピー、復元演習）を実施し、スナップショット濫用検知のガードレールを設定します。
  • Egress最小化の制度化です。
    • WebSockets/DoH/未知のSNI・ドメインへの外向きはデフォルト拒否。業務要件で必要な場合のみ、送信元/宛先/パス単位でピンポイント許可します。
  • 検知強化です。
    • プロキシでHTTP Upgrade要求とCONNECTトンネルの詳細（SNI/宛先/ユーザ/端末）を常時ログ化し、サーバセグメント発の異常指標を継続監視します。

• 1–3カ月（構造改革）

  • 特権アクセスワークステーション（PAW）と特権ID管理（PAM）を導入し、vCenter/ESXi/バックアップに対する操作の不可逆的な監査証跡を確立します。
  • 「許容VIBのみ」「Lockdown Mode」「SSH/ESXi Shellの恒常無効」等、vSphereセキュリティベースラインを標準化します。
  • 変更管理と検知の連携（例：vCenterの拡張/プラグイン導入はすべてCAB承認＋SIEM連動の監査アラート）を整備します。
  • 重要プロトコルの検査と例外管理（TLSインスペクションの適用境界、インスペクション回避対象の極小化）を再設計します。

• コミュニケーションと訓練

  • SOCのハンティング手順書に「管理プレーンC2（WebSockets/DoH）観点」「vSphere権限/プラグイン/タスク監査観点」を追加し、机上演習とレッドチームで検証します。
  • 役員・事業部門に対して、仮想化基盤侵害がBCP/復旧に与える定量影響（RTO/RPO）を可視化し、投資優先度の裏付けにします。

メトリクスが示す緊急性・確度・実務行動可能性はいずれも高いと読み取れます。すなわち「短期ハントの即時実施」と「管理プレーン中心の構造的是正」の二段構えで、今週中に前者、今四半期で後者というリズム設計が望ましいです。既存の境界・EDR・SIEMの前提を「サーバは外向きに喋らない」「管理プレーンは外界に繋がらない」に再定義することが、BRICKSTORM種のマルチプロトコルC2に対する本質的な対抗策になります。

参考情報

• The Hacker News: CISA Reports PRC Hackers Using BRICKSTORM Backdoor to Target U.S. Systems（英語）: https://thehackernews.com/2025/12/cisa-reports-prc-hackers-using.html

注記

• 本稿の「仮説」明記部分は、一般的な攻撃連鎖と公開報道の整合から導いたもので、個別環境での検証が必要です。
• 具体的なIOCや検知シグネチャは一次情報の公開範囲に依存するため、最新の当局通達やベンダーアドバイザリの参照を推奨します。