バロチスタン警察ポータルがハッカーに悪用される多グループのスパイ活動
2024年2月から2026年4月にかけて、バロチスタン警察を含むパキスタンの法執行機関に対する持続的なサイバー諜報活動が行われました。中国およびインドに関連する脅威アクターが関与しており、警察と市民のデータを管理するウェブアプリケーションが侵害されました。特に、Complaint Management System(CMS)が悪用され、マルウェアが配布される手段として利用されました。この攻撃は、パキスタンの内部セキュリティに関する情報を収集するための地政学的な動機に基づいています。
メトリクス
このニュースのスケール度合い
インパクト
予想外またはユニーク度
脅威に備える準備が必要な期間が時間的にどれだけ近いか
このニュースで行動が起きる/起こすべき度合い
主なポイント
- ✓ バロチスタン警察のウェブアプリケーションが侵害され、複数のマルウェアファミリーが使用されました。
- ✓ 攻撃は中国およびインドに関連する脅威アクターによって行われ、パキスタンの法執行機関がターゲットとなりました。
社会的影響
- ! この攻撃は、パキスタンの法執行機関の内部セキュリティに対する信頼を損なう可能性があります。
- ! 市民の個人情報が危険にさらされることで、社会全体の安全に対する懸念が高まります。
編集長の意見
解説
バロチスタン警察CMSが「信頼された配信元」に化けた——複数グループが乗っ取った正規基盤の兵器化
今日の深掘りポイント
- 正規の法執行ポータル(Complaint Management System, CMS)がマルウェア配布に転用され、「信頼」を踏み台にする攻撃が成立していた可能性が高いです。いわば“Stage 0 CDN(正規配信の皮を被ったマルウェア配信)”化です。
- 中国系・インド系とされる複数アクターが混在し、PlugX/ShadowPad/Cobalt Strike/Remcos RATといった異種ツールが同一エコシステムで観測された点は、「一つの侵害基盤を複数グループが共用/連鎖利用する」現実を示します。IRでは“多テナント侵害”を前提に調査網を広げるべきです。
- 対象が法執行機関であり、市民向けCMSが経路に含まれたことで、被害は警察職員だけでなく市民(通報者・被害者・証人情報等)へも波及し得ます。内部治安・人権・証人保護に直結するリスクです。
- 技術的には新規性の高いゼロデイの話ではなく、既知TTPの緻密な組み合わせとオペレーションの持続性で優位を取るタイプです。だからこそ検知・封じ込めは「基本を地道に重ねたサイト信頼性の担保」「正規配信に対するゼロトラスト」から始まります。
- 事案の緊急度は高めで、行動可能性も十分です。特に「正規Web配信の健全性監査」「多アクター同居の前提でのフォレンジック」「市民向け通知と秘匿措置」の3点に優先度を置くべきです。
はじめに
報道によれば、2024年2月から2026年4月にかけ、パキスタンの法執行機関(バロチスタン警察を含む)のWebアプリケーションが侵害され、中国およびインドに関連づけられる複数の脅威アクターが持続的にサイバー諜報活動を展開したとされています。警察のComplaint Management System(CMS)が悪用され、PlugX、ShadowPad、Cobalt Strike、Remcos RATといった複数系統のマルウェア配布が行われた点が核にあります。目的はパキスタン内部セキュリティに資する情報収集とされ、地政学的動機が前景化しています。
本件は南アジアの話に見えて、教訓は普遍的です。私たちは「正規インフラの兵器化」にどう向き合うか——この問いが国内の自治体・省庁・公共サービス、さらには企業の顧客ポータル運用にも突き刺さります。正規ドメインの“白リスト効果”を逆手に取る攻撃が増えるなか、ゼロトラストの視点を配信元にも徹底することが焦点になります。
参考:本記事は以下の報道を一次参照として事実関係を整理しています。一次の技術レポートが公開され次第、追補が必要な可能性があることを明記します。
深掘り詳細
事実関係(報道に基づくポイント)
- 期間と対象:2024年2月〜2026年4月、パキスタンの法執行機関のWebアプリケーション(バロチスタン警察を含む)が持続的に侵害されました。
- 悪用された機能:Complaint Management System(CMS)が配布経路として悪用されました。CMSは市民と警察双方が使うため、影響は職員端末だけでなく市民側にも広がり得ます。
- ツール群:PlugX、ShadowPad、Cobalt Strike、Remcos RATなど計4系統が用いられました。これらはいずれも各国A/PTや犯罪グループで一般的に観測されるツールで、単独のツール群では決定的な帰属根拠にならない点は留意が必要です。
- 背景動機:パキスタン内部セキュリティに資する情報収集という地政学的動機が示唆されています。犯罪記録や生体情報などの高価値データが危険に晒された可能性が指摘されています。
- 帰属:関与アクターは中国およびインドに関連するグループとされていますが、報道時点では複数グループが同一基盤を共有・連鎖利用した可能性があり、帰属は可変要素を多く含みます(仮説を含む)。
出典:上掲The Hacker News報道
インサイト(編集部の視点)
- 正規ドメインの“白リスト効果”は最大の攻撃資産に変わる
メール、ブラウザ、プロキシ、EDRのどれかが“公的機関ドメイン”を例外扱いしていれば、ドロッパやステージャの通過率は跳ね上がります。攻撃者は「最初の一押し」を正規配信に託し、以降はCobalt Strikeなどで柔軟に横展開する構図が見えます。正規配信の健全性監査(署名、ハッシュ、ヘッダ、TLS、配布経路の改ざん検知)を“自社の責任範囲外”にしないことが重要です。 - 多アクター同居前提のIR
PlugX/ShadowPad(中国系での観測が多い)とRemcos/Cobalt Strike(汎用)の混在は、単一アクターでは説明しづらい痕跡を残します。IRでは「一つのWeb侵害に複数C2・複数ペイロードが同居しうる」前提で、タイムラインの層別化、C2クラスタリング、サービス生成イベントのオーナー分離といった手順が欠かせません。 - 人権・治安への二重のリスク
市民通報の場が悪用されれば、通報者・証人の秘匿性や安全が侵されます。法執行データは技術的価値だけでなく、物理的な危害の引き金になり得るため、封じ込めには通常のインシデント対応以上のスピードと配慮が求められます(通知設計、二次被害抑止のための一時的秘匿措置など)。 - 技術新規性は限定的、運用の巧緻が脅威の本質
目新しい0-dayを振りかざすより、正規経路を長期に維持し、配布・更新・回収(Exfil)を丁寧に回す——この成熟度が脅威の厄介さです。したがって防御側の勝ち筋は「当たり前の健全性監査を“毎回・自動で・証跡つきで”やる仕組み化」に宿ります。
脅威シナリオと影響
以下は、報道内容を踏まえた仮説シナリオです。MITRE ATT&CKは代表的なテクニックを例示します(帰属や詳細TTPは一次レポートでの精査が必要です)。
-
シナリオ1:CMS改ざん→“正規ダウンロード”を装ったドロッパ配布
- 想定フロー:公的CMSの配布物やリンクが改ざんされ、職員・市民がマルウェアを取得。初期実行でCobalt Strike/PlugX/Remcosのビーコン化。
- ATT&CK例:
- T1190 Exploit Public-Facing Application(Webアプリ侵害)
- T1505.003 Web Shell(サーバ側持続化/配布制御)
- T1189 Drive-by Compromise / T1204 User Execution(ダウンロード実行)
- T1059 Command and Scripting Interpreter, T1105 Ingress Tool Transfer(ペイロード取得)
- T1547.001 Registry Run Keys/Startup, T1053 Scheduled Task(持続化)
- T1071.001 Web Protocol, T1573 Encrypted Channel(C2)
- T1005 Data from Local System, T1041 Exfiltration Over C2 Channel(収集・送信)
- 影響:職員端末から業務網への横展開、通報者ファイルの二次流出、証人情報の暴露リスク。
-
シナリオ2:CMS認証・通知経路の悪用による資格情報回収
- 想定フロー:ログイン誘導や通知メールにCMS正規ドメインを介在(改ざんリンク)、SSO/ADの再利用パスワードを窃取し、内部システムへ横移動。
- ATT&CK例:
- T1566.002 Phishing: Spearphishing Link(正規ドメインの信用を悪用)
- T1110 Brute Force(パスワードスプレー併用の可能性)
- T1027.006 HTML Smuggling(仮説:Web経由のステルス配布)
- T1021 Remote Services / T1550 Use of Web Session Cookie(横展開/セッション濫用、仮説)
- 影響:AD/メール/ファイルサーバへのアクセス、組織横断の二次被害。
-
シナリオ3:複数アクターの“同居”と後乗り
- 想定フロー:先行侵害者が残したWeb Shellや配布経路に、別アクターが後乗りし、別系統C2を増設。IRの難度が上がる。
- ATT&CK例:
- T1505.003 Web Shell(共有インフラ)
- T1036 Masquerading, T1218 Signed Binary Proxy Execution(防御回避)
- 影響:封じ込め漏れ、根絶やしに時間がかかり、再侵入の温床化。
-
シナリオ4:市民側端末の二次感染による社会的混乱
- 想定フロー:CMSから通報関連の“フォーム/証拠ファイル取得”で市民端末に感染し、個人情報・位置情報・連絡先が窃取される。
- ATT&CK例:
- T1189 Drive-by Compromise, T1204 User Execution
- T1056 Input Capture(仮説:キー入力/クリップボード)
- 影響:通報者・証人の安全、反社会勢力による二次利用、社会的萎縮効果。
総じて、技術的な新奇性よりも、正規基盤と信頼の“構図”が武器となった事案です。緊急度は高く、いま取れる対策の幅も十分にあります。
セキュリティ担当者のアクション
直近の運用対応(48〜72時間)
- 正規配信の健全性監査を即時に始める
- 公的/自社ポータルで配布される実行ファイル・文書のハッシュカタログ化と検証を自動化します。配布物の署名有無、TLS証明書の異常、Content-Type/Content-Lengthの不整合、リダイレクト鎖(3xx)を監視します。
- WAF/リバプロ/アプリログ(含む404/500系)で過去30〜90日の異常アクセス、アップロード/POST増加、不可解な拡張子配布(.zip/.js/.iso/.lnk/.cab/.dll/.cpl/.hta)を狩り込みます。
- 多アクター同居を前提にIR体制を設計
- C2ドメイン/IP/JA3/HTTPヘッダ指紋のクラスタリングを分けてタイムライン化します。同一ホスト上の異種サービス登録、ラテラルでの異なるビーコン間隔など“別人の筆跡”を見逃さないことが重要です。
- エンドポイントの高確度スクリーニング
- 直近のブラウザ由来実行チェーン(browser→mshta/wscript/rundll32/msiexec→未知DLL/EXE)をハントします。
- Cobalt Strike疑義のプロセス特性(親子関係の不自然さ、beaconの既知間隔、spawntoの既知プロセス名、smb/beaconのネームパターン)や、PlugX/ShadowPadの典型的持続化(サービス作成、レジストリRun/Services、隠しDLLロード)を振る舞いで狙い撃ちします。
- コミュニケーションと被害最小化
- 公的ポータル運用者は“配布物改ざんの可能性”と安全な再入手手順(代替配布、ハッシュ照合、DNS切替)を市民・職員へ速やかに通知します。通報者・証人の秘匿性に配慮した連絡チャネルを準備します。
中期の構造対策(四半期内)
- 正規配布のゼロトラスト化
- 配布物に対し、社内プロキシ/EDRで“公的ドメイン例外”を廃止し、MIME偽装・二重拡張子・ISO/IMG/LNK/HTA等の高リスク形式を検疫します。
- 署名必須化(署名ポリシー)と、ダウンロード実体のハッシュピンニング(カタログ配信)を導入します。
- アプリケーション・セキュリティの底上げ
- 公共/顧客向けWebは、SCAとSBOMを整備し、依存コンポーネントの脆弱性修正SLOを設定します。ファイルアップロード機能のサンドボックス実行とAVマルチスキャン、拡張子・MIME整合検証、ストレージ直リンク禁止(署名付き一時URL)を徹底します。
- ランタイム保護(RASP)や強制的な出力エンコード、WAFの仮想パッチを活用します。
- ログと証跡の“整える力”
- HTTP/アプリ/DB/システム/EDRの時刻同期と長期保全を進め、Web配布と端末実行の相関を復元できる体制にします。
- ブランド保護×脅威インテリジェンス
- 自組織・関連省庁ドメインのフィッシング/タイポスクワッティング監視、検索広告のブランドなりすまし検出を組み込みます。脅威アクターのTTPクラスタを継続トラッキングし、同居の可能性を常に評価します。
人とプロセス
- 省庁・自治体・準公的団体を巻き込んだ“配布健全性”演習を実施します。正規サイトが侵害された前提での通知、代替配布、信頼回復の手順を机上から現場レベルまで落とし込みます。
- 法執行や公益性の高いデータを扱う組織では、データ最小化と秘匿属性(証人・通報者等)の別保護を制度・技術の両輪で設けます。
最後に——本件は、攻撃者が“新しい武器”を手にしたというより、私たちが“古い前提(正規は安全)”を手放せていないことを突かれた事件です。配布元にもゼロトラストを。これが次の一手になります。
参考情報
背景情報
- i サイバー諜報活動は、特定の国家に関連する脅威アクターによって行われ、バロチスタン警察のサーバーが侵害されました。これにより、犯罪記録や生体認証データが危険にさらされました。
- i 攻撃者は、Complaint Management System(CMS)を悪用し、マルウェアを配布するための手段として利用しました。このシステムは市民と警察の両方が使用するため、影響が広がる可能性があります。