Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

エンドポイントを超えて: BRICKSTORM が明らかにしたセキュリティの死角

2025年10月1日
Lucie Cardiet
サイバー脅威リサーチマネージャー
エンドポイントを超えて: BRICKSTORM が明らかにしたセキュリティの死角

UNC5221のBRICKSTORMバックドアは、単なるmalwareありません。高度な敵対者は、SOCチームが見えない場所に隠れて勝利を収めていることを証明しています。Mandiant社の調査によると、BRICKSTORMを使用した攻撃者は、検知されるまでに平均400日以上も米国企業内に潜伏していました。彼らは、ネットワーク・アプライアンス、仮想化プラットフォーム、IDシステムの死角を突くことで、これを達成した。このキャンペーンは、破壊と奪取を目的とした攻撃ではなかった。ほとんどのセキュリティ・ツールが無視するインフラ内部での忍耐力、ステルス性、持続性が重要だったのだ。

暗闇の中のアプライアンス:BRICKSTORM が潜んでいた場所

BRICKSTORM が成功したのは、多くのセキュリティチームがほとんど監視しない場所に潜んだからです。このバックドアは VPN ゲートウェイ、ファイアウォール、VMware vCenter サーバーなどのエッジアプライアンス上で動作するよう設計されていました。これらのシステムは事業継続に不可欠ですが、多くの場合エンドポイントエージェントが存在せず、ログも最小限しか生成しません。このセキュリティギャップが、攻撃者にとって理想的な隠れ場所となったのです。

一度設置されると、BRICKSTORM は通常のプロセスに溶け込み、起動スクリプトを改変することで再起動後も持続しました。攻撃者にとっては理想的な足場であり、防御者にとってはほとんど不可視でした。SOC チームがエンドポイントやクラウドワークロードを監視していても、それらをつなぐインフラ内部に攻撃者が存在していることを示すシグナルは全くありませんでした。

こうした死角が、攻撃者に長期間潜伏する余地を与えていたのです。しかし、隠密性は「どこに潜むか」だけでなく「どう活動するか」にも依存していました。

BRICKSTORMのターゲット 出典 Google Cloud

1年以上続いたステルス

UNC5221のオペレーターは、あらゆる従来型の検知方法を回避するために BRICKSTORM を構築しました。各インプラントは被害者ごとに一意にコンパイルされ、識別子を削除し、正規プロセスに見えるよう難読化されていました。一部のバージョンには「遅延起動」機能まであり、数か月間休眠した後に動作を開始しました。マルウェアがビーコンを発信する頃には、インシデント対応者は既に去っていたのです。いた。

その結果、平均約 400 日という驚異的な潜伏期間が生まれました。侵害の痕跡はほとんど役に立ちませんでした。再利用されたドメインもなく、ファイルハッシュの繰り返しもなく、シグネチャも存在しません。攻撃者は「正規の管理者ツール」と「有効な認証情報」を利用してlived off the landとしてラテラルムーブメントやデータ窃取を行い、活動を通常の業務に完全に紛れ込ませました。熟練した SOC チームですら兆候を見逃したのです。

このレベルのステルスは静的なアプローチでは捕らえられません。潜伏時間を短縮するには、インジケータの追跡から振る舞いの監視にシフトする必要があります。インフラ、ユーザー、サービスの微細な異常を捉えることでしか、BRICKSTORM が享受した優位を覆せないのです。

アプライアンスがアイデンティティへのゲートウェイとなるとき

UNC5221にとって、BRICKSTORM は最終目的ではありませんでした。侵害されたアプライアンスは、真に重要なシステムであるアイデンティティインフラへの足がかりでした。

攻撃者は内部でドメインコントローラを丸ごとクローンして Active Directory データベースを密かに抽出しました。また VMware vCenter にカスタムサーブレットフィルタを仕掛け、管理者認証情報を吸い上げました。クラウド環境では Microsoft 365 に不正なアプリケーションを登録し、正規サービスを装ってメールボックスを読み取ることもできました。

防御者から見ると、これらは管理者がログインしたり、マシンを複製したり、クラウドアプリに権限を与えているように見えるだけでした。実際には、企業の信頼の根幹が徐々に破壊されていたのです。

このアイデンティティへのピボットこそ、キャンペーンで最も破壊的な部分です。攻撃者がドメインコントローラや SaaS 認証を掌握すれば、事実上あらゆるリソースにアクセス可能となります。BRICKSTORM は、攻撃者がアプライアンスの足場と認証情報窃取を組み合わせ、ハイブリッド環境全体で支配権を握る方法を示しました。

エンドポイント保護だけでは、アイデンティティが究極の標的となる時代には不十分なのです。

一次標的を超えるサプライチェーンへの影響

UNC5221 の活動は個別の企業にとどまりませんでした。BRICKSTORM に侵害された組織の多くは SaaS プラットフォーム、アウトソーシング会社、法律事務所といったサービスプロバイダであり、数多くの downstream クライアントのデータやアクセスを保持していました。攻撃者はこれらに潜り込むことで、単一ネットワークを超えて広範に到達できる立場を得ました。

この戦略により、各侵害の影響は拡大されます。SaaS 企業での足場は政府機関のデータを露出させ、アウトソーシング企業の侵害は複数業界への侵入口となります。攻撃者にとって効率的な拡張手段であり、防御者にとっては「自社の防御態勢は依存するパートナーやベンダーと同じ強さしかない」という現実を突きつけます。

BRICKSTORM キャンペーンは、サプライチェーン侵害の進化を示しています。それは常にソフトウェアアップデートに悪意あるコードを注入することではなく、ビジネスサービスの結合組織を狙い、信頼関係を悪用して新たな環境に静かに移行することもあるのです。

次世代の敵に直面する

Mandiant は UNC5221 を「非常に高度な攻撃者」と表現しましたが、BRICKSTORM はそれを証明しました。彼らは使い回しのマルウェアファミリには頼らず、被害者ごとにカスタムインプラントを構築し、専用のインフラを展開し、レスポンダーが証拠を収集する前に痕跡を消去しました。そのすべての行動が忍耐と規律を物語っていました。

従来の防御は、この種の敵を想定して設計されていません。

これほどステルス性に投資する相手に対抗するには、検知モデルを変えるしかありません。

そのシフトとは、インジケータではなく振る舞いに注目することです。ネットワーク、アイデンティティ、クラウド環境全体の活動を相関させ、単一ツールでは見えない微細なパターンを明らかにすることです。それ以外では、攻撃者に数か月から数年もの間、悪用される余地を残すことになります。

Vectra AIでギャップを埋める

BRICKSTORM キャンペーンはノイズの中に消えるよう設計されていました。暗号化されたクラウドフロントエンドを通じてビーコンを送り、HTTPS 内に DNS をトンネルし、有効な認証情報でピボットし、数か月にわたり静かにデータを準備しました。これこそまさにVectra AI プラットフォームが可視化する行動です。

Vectra AI が攻撃者の悪用するギャップを埋める方法をご紹介します。

外部との通信と流出

  • 暗号化されたC2トラフィックとフロントC2トラフィック:高度な C2 分析により、ドメインフロンティング、間欠的ビーコン、異常な SaaS/クラウド利用、暗号化 C2 セッションを検知。HTTP ヘッダ、ユーザーエージェント、宛先の希少性、ビーコン規則性の異常を分析し、BRICKSTORM が HTTPS や WSS をクラウドサービス経由で利用するようなステルス C2 を暴きます。
  • DNS-over-HTTPS 解決:Vectra の Hidden HTTPS Tunnel 検知と ML モデルにより、暗号化トラフィック内に隠された DoH パターンを捕捉。これは BRICKSTORM が C2 解決に DoH を利用したことに直接対応します。
  • DNSとプロトコルのトンネリングによる流出:攻撃者が DNS トンネルや C2 経由のデータ流出に切り替えた場合も、Vectra の Hidden DNS Tunnel や ATT&CK マップ検知が異常パターンを即座に強調表示します。

内部移動と収集

  • ラテラルムーブメントと偵察:BRICKSTORM が RDP や SMB トラフィックを中継し、有効な認証情報でピボットする場合、SMB アカウントスキャンや Kerberos アカウントスキャンといった検知が認証情報の悪用や不審な内部探索を警告します。
  • ステージングと収集:リポジトリ、コードベース、ファイル共有への大量アクセスは Data Gathering 検知を引き起こし、流出前に攻撃者の準備活動を明るみに出します。

多層防御

  • IOCカバレッジの補完 :深層防御を補完するため、Vectra センサーは Suricata ベースのルール(SPA)を実行可能で、NVISO の BRICKSTORM C2 ルールのようなコミュニティシグネチャを振る舞い分析と併用できます。

この多層アプローチにより、SOC チームはユニークなハッシュやドメインを追いかける必要はなくなります。代わりに、高度な攻撃者が隠しきれない振る舞いを可視化できます。Vectra AI はネットワーク、アイデンティティ、SaaS、クラウド全体の検知を相関させ、不可視の足場を可視化された脅威へと変換し、潜伏期間を数か月から瞬時へと短縮します。

結論:BRICKSTORM から学ぶべきこと

BRICKSTORM は単なるバックドアではありません。これは、最も高度な攻撃者が従来ツールのカバーできない領域で繁栄するという現実を思い出させる存在です。UNC5221 が企業ネットワーク内で 1 年以上も生き延びられたのは、死角に潜み、アイデンティティを悪用し、正規に見えるチャネルでデータを移動させたからです。

攻撃者が被害者ごとにインフラを変える時代に、インジケータや静的シグネチャに頼ることはできません。重要なのは、マルウェア自体が変わってもキャンペーン全体で一貫して現れる「振る舞い」を検知する能力です。Vectra AI プラットフォームはまさにそれを提供します。

ネットワーク、アイデンティティ、SaaS、クラウドにわたる検知ギャップを閉じることで、Vectra AI は SOC チームが他の誰も見逃す活動を可視化し、長期侵害となる前に隠密作戦を阻止します。

Vectra AI がどのように検知ギャップを解消するかについては、セルフガイドデモをご利用ください。

よくあるご質問(FAQ)