マルウェアのC2(指令)通信を検知・ブロックすることはAPT対策の基本だ。しかし攻撃者が使うC2インフラが「Microsoft Azure Blob Storage」だったらどうか。Operation Dragon Weaveは、中国系APTがチェコ共和国と台湾の政府・研究・金融機関を標的に展開したスパイ活動で、*.blob.core.windows.netへの正規のHTTPS通信に紛れてC2を隠蔽するという巧妙な手口を採用している。2026年6月にインドのSeqriteが詳報したこの作戦は、「正規クラウドサービスを悪用したDead Drop型C2」という近年のAPTに共通するトレンドを体現している。Azure利用が広がる日本企業も同様のリスクにさらされていることを理解し、今できる対策を把握してほしい。
概要
- 作戦名:Operation Dragon Weave
- 報告元:Seqrite(インド)、2026年6月
- 帰属:中国系脅威アクター(中程度の信頼度)。既知のAPTグループへの帰属は特定されていない
- 標的:チェコ共和国・台湾の政府、研究・学術、テクノロジー、金融機関
- 使用マルウェア:RUSTCLOAK(Rustベースローダー)、AZUREVEIL(Adaptix C2エージェント・36コマンド)
- C2手法:Azure Blob Storageをデッドドロップとして使用。攻撃者と感染マシンが直接通信しない
- 初期侵入:スピアフィッシングZIPファイル(LNKファイル経由またはRustドロッパー経由の二経路)
何が起きたのか
標的と地政学的背景
Operation Dragon Weaveの標的は、チェコ共和国・台湾の政府機関、研究・学術機関、テクノロジー企業、金融機関だ。地政学的に見ると、チェコはNATOおよびEU加盟国として欧州の戦略的ハブに位置し、台湾は半導体産業と独立問題において世界の焦点となっている。いずれも中国の国家利益と直接関わる標的だ。
本作戦の目的は外交・防衛・産業技術に関する機密情報の長期収集と考えられる。ランサムウェアのように即座に存在を知らせる手法は採らず、できる限り長く潜伏して情報を収集し続けることがゴールだ。
作戦の発見
Seqriteの脅威インテリジェンスチームが本作戦を特定したのは2026年6月。C2インフラの特徴的なAzure利用パターンと、RUSTCLOAK・AZUREVEILという独自マルウェアファミリーの存在が調査の端緒となった。Dark Readingも「China Uses Dual-Method Cyberattack on Czech Orgs」として本件を報じている。
技術的な解説
初期侵入:二経路のスピアフィッシング
攻撃は精緻に作り込まれたスピアフィッシングメールから始まる。メールにはZIPファイルが添付されており、「ビジネスミーティングの案内」「チェコ社会保険局からの公式通知」などを装った内容で開封を誘導する。ZIPを展開すると、攻撃者は2つの並行した感染ルートで侵害を試みる:
- ルート1:悪意あるLNKファイル(Windowsショートカット):ZIPにPDFに見せかけた
.lnkファイルが含まれる。ダブルクリックするとPowerShellが起動し、多段階のペイロードダウンロードチェーンが実行される。スクリプトは難読化されており検知を回避する。 - ルート2:Rustベースのドロッパーバイナリ:ZIPに直接実行形式のRustバイナリが含まれる。Rustで記述されているため逆コンパイルが困難で、このバイナリが次段階のローダーを直接展開する。
この二段構えは、どちらか一方がセキュリティ製品にブロックされても感染の機会を残す合理的な設計だ。
RUSTCLOAKローダー:DLLサイドローディングで展開
両ルートは最終的にRUSTCLOAKと呼ばれるRustベースのローダーに収束する。RUSTCLOAKの特徴的な展開手法はDLLサイドローディングだ:
- 正規のゲームエンジン「Unity」のDLLファイル
UnityPlayer.dllを悪用する - Unityランタイムは信頼された正規ファイルとしてセキュリティ製品に認識されており、ロードが許可される
- しかし実際には悪意あるDLLが
UnityPlayer.dllとして配置されており、ロード時にRUSTCLOAKが実行される
この手法は「Living Off Trusted Files」(信頼ファイルの悪用)の変形で、正規ソフトウェアへの信頼を逆用することでホワイトリストベースの防御を回避する。
AZUREVEILバックドア:36コマンドを持つAdaptix C2エージェント
RUSTCLOAKが最終的に展開するペイロードがAZUREVEILだ。AZUREVEILはAdaptix C2フレームワークをベースとした完全機能のバックドアで、以下36の後段攻撃コマンドを実装している:
- ファイル操作:アップロード、ダウンロード、ディレクトリ列挙、削除
- プロセス管理:任意プロセスの実行・終了・一覧取得
- ネットワーク:ポートスキャン、トラフィックトンネリング
- 認証情報窃取:メモリダンプ、LSASSダンプ(Windows認証情報)
- 持続化:レジストリ操作、スケジュールタスク登録
- 偵察:スクリーンショット取得、システム情報収集
- コード実行:コマンドシェル実行、PowerShellコマンド実行
Azure Blob StorageによるDead Drop C2:本作戦の核心
Operation Dragon Weaveの最大の特徴であり、セキュリティコミュニティが最も注目する点がDead Drop C2としてのAzure Blob Storage利用だ。
通常のC2通信では、感染マシンが攻撃者管理のサーバーに直接コマンドを取りに行く。そのためC2サーバーのIPやドメインをブロックリストに追加すれば通信を遮断できる。
Operation Dragon WeaveのDead Drop C2では、攻撃者と感染マシンは直接通信しない。両者が共通のAzureストレージコンテナを介してデータを交換する:
- 攻撃者がコンテナに「コマンド」ファイルをアップロード
- 感染マシン上のAZUREVEILがコンテナを定期ポーリングしてコマンドを取得・実行
- 実行結果をコンテナにアップロード
- 攻撃者がコンテナから結果を取得
なぜこの手法が検知・ブロックを困難にするのか、理由を整理する:
- 正規のMicrosoft通信に完全に見える:Azure Blob Storageへの通信は
*.blob.core.windows.netへの標準的なHTTPS通信だ。Microsoft 365やAzureを利用している組織ならこのドメインをブロックすることは業務に直接支障をきたす。ほぼすべての組織がホワイトリスト登録しており「怪しい通信」としてアラートが上がらない。 - 攻撃者独自のC2サーバーが存在しない:従来のIOC(侵害指標)ベースの対策は「C2サーバーのIPとドメイン」を共有・ブロックすることに依存している。Dead Drop型ではこのアプローチが根本的に機能しない。
- TLS暗号化でペイロード内容が秘匿される:Azure Blob StorageとのTLS通信のペイロードをDPI(Deep Packet Inspection)で検査することは困難だ。
- テナント停止への対抗力:使用テナントをMicrosoftに通報・停止を求めることは可能だが、攻撃者は新テナントを即座に作成して活動を継続できる。
なお、Azure Blob StorageのDead Drop C2という手法自体は全くの新手ではなく、過去にもMicrosoft OneDrive、Google Drive、Dropboxを使った類似手法が確認されている。しかしAzureを業務で積極利用している組織ほど、この手法への防御が構造的に困難になる点が本作戦の脅威度を高めている。
日本企業への影響
日本は中国系APTの歴史的な主要標的
日本は中国系APTグループの長年にわたる主要標的だ。過去の代表的な事例として、APT10(Stone Panda)は日本の防衛・宇宙・エネルギー・製造企業を長期にわたり侵害し、日本語に堪能なオペレーターの存在も確認されている(2018年に米司法省が2名の中国人を起訴)。2023年のNISC(内閣サイバーセキュリティセンター)侵害でも中国系APTとの関連が指摘された。
Operation Dragon Weaveの標的セクター「政府・研究・学術・テクノロジー・金融」は、日本でも繰り返し侵害が確認されているセクターと完全に一致する。
Azure利用企業が抱える構造的リスク
日本ではMicrosoft Azureの採用が急速に進んでいる。政府機関での政府共通プラットフォームのAzure移行や、大手企業・大学での利用拡大が背景にある。「Azure Blob Storage通信はほぼ確実に通す」という前提が組織内にある環境ほど、Dead Drop C2が効果的に機能する構造的なリスクが存在する。
スピアフィッシングの日本語ローカライズ版
チェコ語・中国語ターゲット向けに作られたスピアフィッシングメールは、日本語にローカライズされた亜種として日本組織を標的にする可能性が十分ある。「業務メールに添付されたZIPファイルを開く」という日常的な行為が感染の起点になる。研究機関・大学では論文投稿や共同研究の案内に見せかけたスピアフィッシングが過去に多数確認されており、本作戦でも類似の手口が使われうる。
今すぐ確認すべきポイント
1. 初期侵入の防御
- メールゲートウェイでZIPアーカイブ内の
.lnkファイルを含む添付をブロックまたは検疫 - EDR製品でDLLサイドローディング検知ルールを有効化し、
UnityPlayer.dllが正規Unityインストールパス以外からロードされる場合にアラート発報 - PowerShellのConstrained Language Modeを適用し、Base64エンコードされたコマンドの実行に対してアラートを設定
- スピアフィッシングを想定したメール訓練を定期実施。LNKファイルを「PDFに見せかけたショートカット」として見分けるトレーニングを盛り込む
2. Azure利用環境での検知強化
- Azureストレージアカウントのアクセスログを監視し、業務目的外のBlobコンテナへのアクセスを検知するアラートを設定
- エンドポイントから
*.blob.core.windows.netへの通信のうち、業務アプリ以外のプロセスからの接続を監視(プロセスとネットワーク接続を紐づけて確認) - Microsoft SentinelなどSIEMで、Azure Blob Storage Dead Drop C2のパターン(定期的な小容量HTTPS通信)を検知するルールを追加
- Defender for Endpointで「LOLBAS」(Land-Off-Binaries and Scripts)とDLLサイドローディングのアラートを強化
3. 侵害の痕跡(IOC)確認
UnityPlayer.dllがゲームアプリや正規Unityインストール以外のディレクトリに存在しないか確認- プロセスツリーで
UnityPlayer.dllをロードするプロセスの子プロセスに不審なものがないか確認 - ネットワークログでAzure Blob Storageへの定期的な小サイズHTTPS通信(数分〜十数分おきのポーリング)を確認
- PowerShell実行ログでBase64エンコードコマンドの実行履歴を確認
4. ゼロトラスト的な対策
- クラウドストレージ(OneDrive、SharePoint、Azure Blobなど)へのアクセスを「どのアプリケーションが通信しているか」のレベルで管理。業務アプリ以外からの接続を可視化する
- エンドポイントのOutbound通信をDNS・IPだけでなくアプリケーション単位で監視し、業務外アプリからの外部通信を検知する仕組みを構築する
参考情報
- Seqrite: Operation Dragon Weave — Uncovering a China-Linked Campaign Targeting Czech Republic and Taiwan Using Azure Cloud C2(2026年6月)
- Dark Reading: China Uses Dual-Method Cyberattack on Czech Orgs
- The Hacker News: China-Aligned Groups Ramp Up Attacks: Dragon Weave Hits Czech Republic & Taiwan
- SOC Prime: Operation Dragon Weave Uses Azure Cloud C2 to Target Czech Republic and Taiwan