2025年10月23日、無料ウェビナーを開催。法務BPOの最新動向や導入事例を紹介し、人手不足を解消する方法に迫ります。

法務部門の人員不足や業務負荷に悩む企業向けの無料ウェビナーを開催。最新の法務BPOの実績や導入事例が学べます！

法務業務の効率化を目指す方必見！2025年10月23日に開催される無料ウェビナーで最新の法務BPOについて学ぶチャンスをお見逃しなく。

人手不足やリスク対応に悩む法務部門必見のウェビナー。最新の法務BPOの実例やノウハウを学び、業務効率化を図りましょう。

企業の法務部門での人手不足を解決するウェビナーが2025年に開催予定です。法務BPOの効果的な活用方法を学ぶチャンスです。

China-linked actors used Brickstorm malware to spy on U.S. tech and legal firms, stealing data undetected for over a year, Google warns.

UNC5221 uses BRICKSTORM malware to maintain 393-day stealthy access to U.S. SaaS, legal, and tech sectors.

米国の法務サービス、ソフトウェア・アズ・ア・サービス（SaaS）プロバイダー、ビジネスプロセスアウトソーサー（BPO）、およびテクノロジー分野の企業が、BRICKSTORMと呼ばれる既知のバックドアを配布するために、中国と関連が疑われるサイバースパイグループの標的となっています。 この活動はUNC5221および密接に関連する中国系と疑われる脅威クラスターに帰属されており、被害組織への1年以上にわたる持続的なアクセスを可能にすることを目的としています。MandiantおよびGoogle Threat Intelligence Group（GTIG）が新たなレポートでThe Hacker Newsに共有しました。 BRICKSTORMがSaaSプロバイダーを標的とする目的は、下流の顧客環境やSaaSプロバイダーが顧客のためにホストしているデータへのアクセスを得ることと評価されています。一方、米国の法務および技術分野を標的とするのは、国家安全保障や国際貿易に関連する情報の収集、ならびにゼロデイエクスプロイト開発を進めるための知的財産の窃取を狙ったものと考えられます。 BRICKSTORMは、Ivanti Connect Secureのゼロデイ脆弱性（CVE-2023-46805およびCVE-2024-21887）の悪用と関連して、昨年テック大手によって初めて文書化されました。また、少なくとも2022年11月以降、ヨーロッパのWindows環境を標的とするためにも使用されています。 Go言語ベースのバックドアであるBRICKSTORMは、自身をウェブサーバーとして設定し、ファイルシステムやディレクトリの操作、ファイルのアップロード/ダウンロード、シェルコマンドの実行、SOCKSリレーとしての動作などの機能を備えています。コマンド＆コントロール（C2）サーバーとの通信にはWebSocketsを使用します。 今年初め、米国政府は、中国系とされる脅威クラスターAPT27（別名Emissary Panda）がSilk Typhoon、UNC5221、UTA0178と重複していると指摘しました。しかし、GTIGは当時The Hacker Newsに対し、独自にその関連性を確認する十分な証拠はなく、2つのクラスターとして扱っていると述べました。 「これらの侵入は、従来のエンドポイント検知・対応（EDR）ツールをサポートしないアプライアンスにバックドアを展開することで、長期的かつステルス性の高いアクセスを維持することに特に重点を置いて実施されています」とGTIGは述べ、2025年3月以降、複数の侵入事案に対応したと付け加えています。 「攻撃者は、セキュリティテレメトリをほとんど、あるいは全く生成しない横展開やデータ窃取の手法を用いています。これにBRICKSTORMバックドアの改変が加わることで、被害環境で平均393日間、検知されずに潜伏することが可能となっています。」 少なくとも1件のケースでは、攻撃者が前述のIvanti Connect Secureエッジデバイスのセキュリティ脆弱性を悪用し、初期アクセスを獲得した上で、複数メーカーのLinuxおよびBSDベースのアプライアンスにBRICKSTORMを設置したとされています。 マルウェアが現在も活発に開発されている証拠もあり、あるサンプルには、C2サーバーへの通信を開始する前に数か月先のハードコードされた日付まで待機する「delay」タイマーが搭載されていました。Googleによると、このBRICKSTORMの亜種は、標的組織がインシデント対応を開始した後に内部のVMware vCenterサーバーに展開されており、攻撃グループが持続性を維持するための機動力を示しています。 また、攻撃はApache Tomcatサーバー向けの悪意あるJava Servletフィルター「BRICKSTEAL」を使用し、vCenterの認証情報を取得して権限昇格を行い、その後、ドメインコントローラー、SSOアイデンティティプロバイダー、シークレットボールトなどの主要システム用Windows Server仮想マシンを複製することでも特徴付けられています。 「通常、フィルターのインストールには設定ファイルの変更とアプリケーションの再起動またはリロードが必要ですが、攻撃者は完全にメモリ上で変更を行うカスタムドロッパーを使用し、非常にステルス性が高く、再起動の必要性を排除していました」とGoogleは述べています。 さらに、攻撃者は有効な認証情報を利用して横展開し、VMwareインフラストラクチャへピボットするほか、init.d、rc.local、systemdファイルを改変してアプライアンス再起動時にバックドアが自動的に起動するようにすることで持続性を確立していることが判明しています。 このキャンペーンの主な目的は、被害組織内の開発者、システム管理者、中国の経済的・諜報的利益に合致する事案に関与する人物など、重要人物のメールへアクセスすることです。BRICKSTORMのSOCKSプロキシ機能はトンネルを作成し、攻撃者が関心を持つアプリケーションへ直接アクセスするために利用されます。 Googleはまた、LinuxおよびBSDベースのアプライアンスやシステム上で、マルウェアの既知のシグネチャに一致するファイルを検出することで、BRICKSTORMの影響を受けているかどうかを判断できるシェルスクリプト型スキャナーも開発しています。 「BRICKSTORMキャンペーンは、その高度な手法、先進的な企業セキュリティ防御の回避、高価値ターゲットへの集中という点で重大な脅威となっています」と、Google CloudのMandiant Consulting CTOであるCharles Carmakal氏はThe Hacker Newsに寄せた声明で述べています。 「UNC5221によって得られたアクセス権は、侵害されたSaaSプロバイダーの下流顧客へのピボットや、将来の攻撃に利用可能なエンタープライズ技術のゼロデイ脆弱性の発見を可能にします。組織は、エンドポイント検知・対応（EDR）カバレッジがないシステムに潜むBRICKSTORMや他のバックドアを積極的に調査することを推奨します。」 翻訳元:

企業法務専門の「クラウドリーガル」とBPOの「ネオキャリア」が業務提携を発表。法務と業務支援を融合した新たなアウトソーシングの形に迫ります。

企業法務サービスのクラウドリーガルとBPO業務のネオキャリアが初の業務提携を発表。これにより、専門的な法務アウトソースやバックオフィス代行が強化されることに期待が寄せられる。