中国関連 APT と Covert ネットワーク:侵害済みルータで構築する柔軟な攻撃インフラとは?

Hackers Abuse Compromised Routers to Hide China-Linked Cyber Operations

2026/04/24 CyberSecurityNews — 新たに急速に拡大するサイバー脅威が確認された。中国に関連する攻撃者が、侵害済みのルータ/エッジデバイスを悪用する大規模な Covert ネットワークを密かに構築し、世界中の組織に対して秘匿性の高いサイバー作戦を実行している。

これらの脅威アクターは、自前インフラをゼロから構築するのではなく、巧妙かつ低コストな手法として家庭用ルータ/小規模オフィス機器などの日常的なネットワーク機器に侵入し、それらを攻撃の中継ポイントとして密かに悪用している。この手法により、悪意のトラフィックは通常のインターネット通信に紛れ込むため、防御側が攻撃元を特定することが著しく困難となる。

こうして形成されるネットワークは、常に変化し続ける強力かつ隠蔽されたものとなり、従来のセキュリティ・ツールによる特定はほぼ不可能となっている。つまり、この Covert (秘匿性の高い) ネットワークは、規模と柔軟性の両面で極めて危険である。現在、中国関連アクターは Cyber Kill Chain の全段階において、これらの侵害デバイスを悪用している。

スキャンによる偵察段階から、マルウェアの配布と C2 (Command-and-Control) 通信の先にある最終的なデータ窃取に至るまで、すべての攻撃経路が無害に見える一般的なデバイスを経由して行われている。ある日は特定の国の家庭ネットワーク、翌日は別地域のネットワークから、攻撃元が観測されている可能性がある。

パートナー機関や Cyber League と連携する英国の NCSC は、この脅威パターンを特定し、2026年4月23日にアドバイザリを公開した。同機関が指摘するのは、Covert ネットワークが単一のグループだけに限定されない点である。つまり、複数の中国関連アクターが同一の侵害ノードプールを共有し、ネットワークを継続的に更新/再構築していることが示唆されている。

いま発生しているのは、侵害指標 (IOC) が発見された直後に、即座に無効化または消滅する “IOC extinction” と呼ばれる現象である。標的化される組織においては、機密データの窃取/重要サービスの妨害といった深刻な懸念がある一方で、攻撃者側は侵害済みのコンシューマ・デバイス群の背後に隠れ続けている。

攻撃インフラが短時間で変化し実効性を維持していない以上、固定 IP ブロック・リストなどの静的防御に依存する組織は、きわめて高いリスクにさらされ続ける。それが示すのは、大規模なサイバー・スパイ・オペレーションの実行手法における重要な転換点である。

Covert ネットワークの動作メカニズム

この脅威の中核は単純であるが、きわめて効果的なものになっている。攻撃者たちは、既知のサーバから直接接続するのではなく、侵害済みルータ/IoT デバイスのチェーンを経由してトラフィックを転送する。これらのデバイスの多くは、未パッチ脆弱性を抱える古いファームウェアを実行しているため、初期侵入が容易である。

侵入後の攻撃者は軽量化されたツールを設置し、トラフィックを静かに中継する。そのため、デバイス自体にはほとんど痕跡が残らない。ネットワーク内のデバイスは継続的に入れ替えられるため、インフラは自動的に再生成される。

セキュリティ・チームが特定 IP をブロックしても、短時間で新たなノードに置き換わるため、防御は数時間以内に無効化される。そのため、機械学習ベースの異常検知/地理的プロファイリングが極めて重要となる。静的ルールでは、自己変形するネットワークに対応できない。

対応策

すべての組織に対して NCSC が推奨するのは、以下の対策である。

  • エッジデバイス・トラフィックの可視化とベースライン確立 (特に VPN/リモートアクセス)。
  • 既知の Covert ネットワーク指標に基づく、動的脅威フィード・フィルタリングの導入。
  • すべてのリモートアクセスに対する多要素認証の適用。
  • 可能な場合に、ゼロトラスト制御/IP allow リスト/マシン証明書検証の適用

さらに、大規模組織/高リスク組織には、以下が推奨される。

  • SOHO/IoT トラフィックに対する積極的な脅威ハンティング (潜伏する脅威の能動的な探索)。
  • 地理的プロファイリングの適用。
  • 異常パターンを事前検知可能な機械学習ベース検知の導入。

この種の攻撃の背景にあるのは、私たちにとって身近な家庭用ルータや IoT デバイスが、未修正の脆弱性を抱えた古いファームウェアのまま運用されている状況です。こうした管理の行き届かないデバイスを足場にする攻撃者は、正規の通信に紛れ込む巧妙な Covert (コバート) ネットワークを構築しています。複数のデバイスを中継点として再利用し続ける仕組みが、脅威を深刻化させています。よろしければ、カテゴリー APT を、ご参照ください。