Webサーバー侵入とMimikatzで固める、中国系スパイキャンペーンの実像と守りの差分

今日の深掘りポイント

• 入口は「公開Webサーバーの脆弱性」から、居座りは「Webシェル」とOS横断の持続化で固める構図です。
• 目的は短期の破壊ではなく、長期の諜報・窃取。特にIISのweb.configや.dllといった“設計図と鍵束”が狙われます。
• 資格情報はMimikatz等で横取りし、横展開は正規アカウント・正規プロトコルで目立たず進めます。
• 重要インフラの分断（DMZ/OT）を迂回する「踏み台Web→AD→業務/OT」のシナリオが現実的です。
• 直近で効く差分は、Web層の「機微情報の無毒化と秘匿（web.config対策）」と、LSASS保護・EDRの“プロセス間アクセス監視”の両輪です。

はじめに

Palo Alto Networksが「Crimson Palace」と名付けた中国系スパイ活動が、アジアの航空、エネルギー、政府、法執行、製薬、技術、通信に長年浸透してきたと報じられています。初期侵入はWebサーバーの脆弱性、内部拡大はMimikatzをはじめとするオープンソースと自作マルウェアの組み合わせという、いかにも“見つかりにくい王道”です。今回の注目は、WindowsだけでなくLinuxまで視野に入れた持続性と、IISのweb.configや.dllといった構成ファイルに向けられた執拗な関心です。構成情報と資格情報を手にした攻撃者は、最小限のノイズで最大の可視範囲を得ます。つまり、私たちの“当たり前の運用”のなかに、相手が住み着く余白がまだ残っているということです。

参考: The Hacker News（一次情報の要旨を二次的に整理）に今回の概況がまとまっています（Palo Alto Networksの命名「Crimson Palace」、Webサーバーの悪用、Mimikatz活用、web.config/.dll探索など）［出典: The Hacker News］。

• 参考: Web Server Exploits and Mimikatz Used in Asia Cyber-Espionage Campaigns（The Hacker News, 2026-03-09）

深掘り詳細

事実の整理（提供情報の要点）

• 標的: 南アジア、東南アジア、東アジアの高価値組織。航空、エネルギー、政府、法執行、製薬、技術、通信などです。
• 目的: サイバー諜報（長期的な情報窃取・監視）です。
• 手口:
  • 公開Webサーバーの脆弱性悪用からWebシェル設置（Windows/Linux双方）です。
  • 構成・機密に直結するファイル拡張子（例: web.config、.dll）を探索・収集します。
  • Mimikatzで資格情報を窃取し、正規アカウントによる横展開・持続化を図ります。
  • データのエクスフィルトレーションは“目立たない運び方”（正規プロトコル・クラウド併用等）です。

出典は上掲The Hacker Newsの報道要旨に基づきます。

編集部のインサイト（なぜ効いてしまうのか）

• web.configと.dllは“二刀流”の価値があるから狙われます。
  • web.configにはDB接続文字列や認証情報、外部APIキーなど“その後の侵入を容易にする秘密”が埋まっていることが多いです。暗号化（DPAPI/ASP.NETの構成暗号化）や秘匿が甘い環境では、一度奪われると次の環境（DB、メッセージング、ストレージ）へ踏破が続きます。
  • .dllの収集は、IISモジュールやアプリ固有の拡張点（ロード順・フックポイント）の理解に有効です。カスタムモジュールの署名や読み込み規則が緩いと、同名差し替えやロード順ハイジャックが成立しやすくなります。
• Mimikatz対策は“導入の可否”ではなく“どこまで抑え込むか”の勝負です。
  • もはやMimikatzそのものの有無ではなく、LSASSへのプロセスアクセス、ミニダンプ作成、WDigest設定、資格情報の派生（Kerberosチケット、DPAPIマスターキー）といった“周辺の振る舞い”を積層で止めきれるかがポイントです。EDRのプロセス間ハンドル監視とLSA保護・Credential Guardの併用が差を生みます。
• Linux側の持続化が“気づきを遅らせる”現実です。
  • Windows側はEDRの普及で検知が上がっていますが、LinuxのWeb/アプリ層は可視性がまばらです。cronやsystemdの微細なエントリ、Apache/Nginxの子プロセス異常、未知の.so読込など、監査の“穴”を丁寧に縫ってきます。
• 本件のメトリクス（編集部受領のスコア群）からは、“発見済みで具体的、かつ当面の運用差分で抑止可能”という手触りが読み取れます。つまり、ゼロからの新兵器ではなく、組織側のベストプラクティスの徹底度が結果を分ける局面です。逆に言えば、パッチや秘匿設定、EDRの調整といった“地味な積み上げ”こそROIが高いフェーズです。

脅威シナリオと影響

以下は今回の要旨に基づく仮説シナリオです（MITRE ATT&CK参照）。特定の事案断定ではなく、SOC/ハンティングの思考実験として提示します。

• 初期侵入
  • 公開Webアプリの脆弱性悪用でサーバーに任意コード実行（ATT&CK: Exploit Public-Facing Application, T1190）です。
  • サーバー側コンポーネントにWebシェル設置（Server Software Component: Web Shell, T1505.003）です。
• 実行・持続化・防御回避
  • Webシェル経由でOSコマンド/PowerShell/Bash実行（Command and Scripting Interpreter, T1059）です。
  • スケジュールタスク/cronやIISモジュール差し込みで持続化（Scheduled Task/Job, T1053；Server Software Component, T1505）です。
  • 署名済みバイナリ悪用（例: rundll32によるローダー）（Signed Binary Proxy Execution, T1218）です。
• 資格情報アクセス・特権化
  • Mimikatz等でLSASSメモリやSAM/SECURITYハイブをダンプ（OS Credential Dumping, T1003；LSASSメモリアクセスはT1003.001の代表例）です。
  • 正規アカウントでの横移動（Valid Accounts, T1078）です。
• 偵察・横展開
  • ネットワーク/サービス/アカウント列挙（Network Service Discovery, T1046；Account Discovery, T1087）です。
  • リモートサービス（SMB/WinRM/RDP/SSH）で横展開（Remote Services, T1021）です。
• コマンド&コントロール・流出
  • Web/HTTPSベースのC2（Application Layer Protocol: Web Protocols, T1071.001）です。
  • C2チャネル/クラウドを経由したデータ持ち出し（Exfiltration Over C2 Channel, T1041；Exfiltration to Cloud Storage, T1567.002）です。

影響の広がり（仮説）

• DMZのWebからAD/ID基盤へ、そして業務・研究・OTへと“静かに”滲み出す流れが想定されます。特にweb.config経由でDBやメッセージブローカーに再利用可能な資格情報が抜かれると、ID管理より内側の“業務データ面”からの横展開が促進されます。
• 航空・エネルギー・製薬では、民生と防衛の境界が薄い設計・製造・試験データが多く、情報窃取が産業／安全保障の両方で長期の不利益に繋がります。短期の停止より、競争力の浸食が本丸です。
• 多国籍企業は、対象地域外でも“委託先/共同研究/海外拠点”を経由して波及するおそれがあります。VPN/IDフェデレーションの“最弱点”を突かれやすいです。

参考（MITRE ATT&CK各技術の定義）

• MITRE ATT&CK: T1190 Exploit Public-Facing Application
• MITRE ATT&CK: T1505.003 Web Shell
• MITRE ATT&CK: T1003 OS Credential Dumping
• MITRE ATT&CK: T1071.001 Web Protocols
• MITRE ATT&CK: T1567.002 Exfiltration to Cloud Storage

セキュリティ担当者のアクション

“まずここから”という順序で、実務に落ちる項目だけを並べます。

• インターネット面の資産棚卸しと“入口”の閉塞

  • 公開Web（IIS/Apache/Nginx/Javaフレームワーク等）の最新化とWAF/仮想パッチを適用します。
  • Webルートの変更監視を有効化し、.aspx/.ashx/.jsp/.php等の新規作成を即通知します。w3wp/httpd/nginx子プロセスからの不自然なプロセス生成（cmd.exe/powershell.exe/bash）をEDRで検知します。
  • アップロードディレクトリの実行権限を外し、拡張子ホワイトリスト/実行ポリシーを厳格化します。

• web.config/.dllの“価値”を下げる

  • web.configの機微値（接続文字列・鍵・APIトークン）をDPAPI/ASP.NETの構成暗号化で保護し、平文配置を撲滅します。格納先をKey Vault/秘密管理に寄せ、ローテーションを定期運用にします。
  • カスタムIISモジュール/ハンドラ（.dll）の署名・読み込み許可リスト化を行い、ロード順/設置パスを標準化します。運用変更時はハッシュ基準で差分検知します。
  • ソース管理とCI/CDで構成ファイルのシークレットスキャンを必須化します。

• 資格情報の“奪わせない”と“奪われても広げない”

  • LSA保護（RunAsPPL）とMicrosoft Defender Credential Guardを有効化します。WDigestを無効化し、LSASSのメモリダンプ（ミニダンプ、rundll32/comsvcs.dllやProcdump経由）をEDRで遮断・検知します。
  • 管理系アカウントの特権分離（PAW/ジャンプサーバー）、JIT/JEAでの一時権限化、横展開を許す“汎用管理パスワード”の排除を徹底します。
  • Kerberosチケット寿命の適正化、NTLMの段階的無効化を進めます。

• ハンティングの着眼点（Mimikatz/横展開の周辺検知）

  • LSASSへのOpenProcess/ReadProcessMemory（Sysmon Event ID 10）や突発的なミニダンプ作成、権限昇格直後のプロセス生成（4688/4672）を関連付けます。
  • DC/サーバーでの急なDCSync挙動（Directory Replication, 4662/4928）や大量のKerberos TGS発行（4769）を相関します。
  • Webサーバー上の“設定ファイル探索”コマンド列（findstr/grepでのweb.config/.dll/‘password’キーワードの反復）を検知します。
  • Egress監視でHTTP/Sの非定常アップロード、特に業務外クラウド（匿名ストレージ、一時URL）宛てを絞り込みます。

• Linux/Web層の可視化をWindows並みに引き上げる

  • auditd/OSQuery/EDRでcron/systemdタイマ、未知の.so読込、Web子プロセスの外部通信を監査します。
  • 変更検知（inotify/Sysmon for Linux）でWebルート・モジュールディレクトリの新規/改変を即時検出します。

• 供給網・第三者アクセスの見直し

  • ベンダーVPN/IDフェデレーションのMFA強制、条件付きアクセス、操作可視化（セッション録画/コマンド監査）を義務化します。
  • DMZ—内側—OTの間で“正規プロトコルの正規化”を進め、許容すべき宛先/メソッド/ヘッダ/ペイロードを細ることで、Web経由の静かなC2や流出を炙り出します。

• インシデント対応の前提整備

  • Webシェル発見時の“落としどころ”（隔離→証跡保全→資格情報の一括ローテーション→ADヘルスチェック）をプレイブック化し、演習で時短を体に入れます。
  • バックアップからの復元訓練では、アプリ設定の秘匿復元（Secrets復元手順）まで含めてリハーサルします。

編集後記

• 今回の脅威は「新規性」より「完成度」が怖いです。Webの小さな穴から、設計図（web.config）と鍵束（資格情報）を回収し、正規の顔で歩き回る。守る側が地道に積み上げた“ベストプラクティスの一歩差”が、検知・阻止の成否を決める局面です。だからこそ、今日の運用に小さな差分（web.configの無毒化、LSASS保護の厳格化、Web子プロセス監視の強化）を足すことが、明日の大きな被害を防ぐ最短経路になります。

参考情報

• The Hacker News: Web Server Exploits and Mimikatz Used in Asia Cyber-Espionage Campaigns
• MITRE ATT&CK: T1190 Exploit Public-Facing Application, T1505.003 Web Shell, T1003 OS Credential Dumping, T1071.001 Web Protocols, T1567.002 Exfiltration to Cloud Storage