セキュリティ

中国関連のハッカー集団が医学研究機関を標的にして気付かれないまま情報収集活動を行っていたとGoogleが報告


Google脅威インテリジェンスグループ(GTIG)が2026年6月16日、中国に関連するハッカー集団がアメリカやカナダの医学研究機関を標的とした攻撃キャンペーンを展開していたと報告しました。ハッカー集団は1年以上にわたり検出されることなく活動を続け、独自のマルウェアを展開して機密性の高い内部システムに侵入し、秘密裏にデータを流出させていたとのことです。

Public and Private Medical Community Targeted by China-Nexus Threat Actor Pursuing Artificial Intelligence, Cyber, Medical, and National Defense Research | Google Cloud Blog
https://cloud.google.com/blog/topics/threat-intelligence/prc-targets-us-medical-research

Chinese-linked hackers targeted U.S.,Canadian research facilities for a year, Google says | Reuters
https://www.reuters.com/legal/litigation/chinese-linked-hackers-targeted-uscanadian-research-facilities-year-google-says-2026-06-15/

Chinese hackers breach REDCap servers, steal medical research
https://www.bleepingcomputer.com/news/security/chinese-hackers-breach-redcap-servers-steal-medical-research/]

GTIGが報告したハッカー集団は国・州・民間の医療機関を標的としており、これらの中には世界的に有名な臨床医療機関や一流の学術センター、北米の軍事医療機関、専門家擁護団体、医療規制機関などが含まれるとのこと。これらの機関の従業員は数千人を超えているそうで、研究分野は新分子の発見から臨床薬物試験、州レベルの公衆衛生対策、軍事準備と多岐にわたり、研究予算は合計で数十億ドル(数千億円)に上るとGTIGは述べています。


確認された最初の侵害は2023年9月にさかのぼり、ハッカー集団は(PDFファイル)REDCapサーバーの脆弱(ぜいじゃく)性を悪用したとのこと。REDCapはオンライン調査やデータベースの構築・管理のためのウェブアプリケーションで、医療および科学研究分野でよく使われています。

ハッカー集団は最初の侵害から3カ月後、REDCapシステム専用に設計されたINFINITEREDというカスタムマルウェアを展開し、正規のREDCapログイン認証情報を盗み出しました。そして1年以上にわたり検出されずに潜伏した後、INFINITEREDは盗み出した認証情報を使用してドメイン管理者アカウントを侵害し、データ流出に向けた操作を実行したとのこと。


INFINITEREDの特徴として挙げられているのが、データを外部に流出させるために、クラウドベースの企業向けツールに搭載されている正規の「コンテンツコンプライアンスルール」機能を利用するという点です。

INFINITEREDは管理者権限を取得した後、「Patroit」という名前のコンテンツコンプライアンスルールを作成しました。このルールは組織内をスキャンして特定のキーワードやコンテンツパターン、メールアドレス、電話番号を検出するものであり、一致する結果をすべてハッカー集団が管理するGmailアドレスに送信したとのこと。

以下が、「Patroit」でスキャンする対象に指定されていたキーワードの一例です。「Indo-Pacific(インド太平洋)」「Southeast Asia(南東アジア)」といった地政学的なワードや、「Commands unit(コマンド部隊)」のような軍事関連ワード、「Artificial Intelligence(AI)」のようなテクノロジー関連のワードなどが指定されています。


ハッカー集団は2023年9月にシステムを侵害して以降、2025年11月まで継続的に活動していたとのことですが、すでにGTIGはこのハッカー集団に関連するインフラストラクチャを破壊したと報告しています。

GTIGは、一連の攻撃を実行したハッカー集団は「UNC6508」と呼ばれる集団だと断定しています。GTIGの副主任アナリストであるルーク・マクナマラ氏は、UNC6508の手法は長年にわたって見られる中国関連のハッキング活動とおおむね一致しており、中国政府が関心を持つ可能性のある情報の収集に重点を置いていると述べました。

この記事のタイトルとURLをコピーする

・関連記事
中国からの報復を恐れてハッキング調査報告書から中国の名前を削除するようパロアルトで社内命令が下ったとの報道 - GIGAZINE

中国のハッカーが大手半導体企業のネットワークに2年以上潜伏してチップ設計を盗み出すことに成功したと判明 - GIGAZINE

中国政府と関係のあるハッカーらがアメリカの水道・ガス・電気などを攻撃して停止させた上に公益事業や交通システムも標的にしていると安全保障当局者らが警告 - GIGAZINE

中国のハッカー集団が日本の防衛機密ネットワークに侵入していたとの報道 - GIGAZINE

中国系ハッカー集団「APT27」メンバーを含む12人をアメリカ司法省が起訴 - GIGAZINE

「中国共産党によるサイバー攻撃を助けてきた」としてネットワーク機器メーカーのTP-Linkをテキサス州が提訴 - GIGAZINE

ハッカー集団「ボルト・タイフーン」の背後に中国政府がいるというアメリカ政府とMicrosoftの主張を中国側が「自作自演の茶番」だと否定 - GIGAZINE

中国政府系ハッカー「シルク・タイフーン」が海外投資の国家安全保障リスクを審査するアメリカ政府機関に侵入 - GIGAZINE

中国ハッキンググループがアメリカ政府組織のメールボックスに不正アクセスしたと判明 - GIGAZINE

・関連コンテンツ

in セキュリティ, Posted by log1h_ik

You can read the machine translated English article Google reports that a Chinese-linked hac….