サイバーセキュリティ

BPFDoor：あなたの通信ネットワーク自体が脅威となるとき

2026年3月28日5分で読めます

BPFDoor：あなたの通信ネットワーク自体が脅威となるとき

ほとんどの人は、自分のモバイルキャリアがデータをA地点からB地点へ単純に運ぶ中立的なパイプだと思い込んでいる。しかし、BPFDoorと呼ばれるツールが関与する新たに詳細が明らかになったスパイ活動は、その思い込みが危険なほど時代遅れであることを示唆している。Red Menshenと呼ばれる中国と関連を持つ脅威アクターは、少なくとも2021年から複数の国の通信インフラ内にひそかなバックドアを静かに埋め込み続けており、数百万人の人々が依存するネットワークそのものを監視のための道具へと変えてきた。

これは理論上のリスクではない。世界の通信の根幹を標的とした、現在進行中の記録済み諜報活動である。

BPFDoorとは何か、そしてなぜ危険なのか？

BPFDoorは、検出が異常なほど困難なLinuxベースのバックドアである。Linuxシステムに組み込まれた正規の低レベルネットワーク機能であるバークレー・パケット・フィルタリング（BPF）を利用し、目に見えるネットワークポートを一切開くことなく、受信トラフィックを監視して隠されたコマンドに応答する。不審な開放ポートをスキャンする従来のセキュリティツールには何も異常が検出されない。なぜなら、BPFDoorは従来のマルウェアのような動作をしないからだ。

これこそが、長期的なスパイ活動において非常に効果的な理由である。Red Menshenは急いでデータを盗んで立ち去るようなことはしなかった。このグループはこれらのインプラントをスリーパーセルとして埋め込み、数ヶ月から数年にわたってキャリアインフラへの持続的かつ静かなアクセスを維持した。目的は強奪作戦ではなかった。戦略的な忍耐をもって行われる、持続的な情報収集であった。

誰が影響を受け、どのようなデータが流出したのか？

このキャンペーンの規模は重大なものだ。韓国だけでも約2700万件のIMSI番号が流出した。IMSIとは、国際移動体加入者識別番号のことであり、SIMカードに紐づけられた固有の識別子である。キャリアインフラとともにIMSIデータへのアクセスを得た攻撃者は、加入者の位置情報の追跡、通信メタデータの傍受、誰が誰と通話しているかの監視を行える可能性がある。

韓国以外にも、このキャンペーンは香港、マレーシア、エジプトのネットワークにも影響を与えた。通信キャリアは政府機関、企業クライアント、一般市民のルーティングも処理していることから、潜在的な被害は特定のユーザー層に限られない。外交通信、ビジネス通話、個人的なメッセージはすべて同じインフラを経由している。

研究者らによれば、このキャンペーンの焦点は即時の金銭的利益ではなく、長期的な戦略的優位と情報収集にあったとされる。この見方は重要だ。つまり、この脅威は警報を鳴らすことなく静かに持続するよう設計されているということを意味する。

これがあなたにとって何を意味するか

主要なキャリアの加入者、特に影響を受けた地域にいる場合、不都合な現実はこうだ：あなたはキャリア自身のネットワーク内でデータに何が起きているかをほとんど把握できない。キャリアはインフラを管理している。そのインフラが深いレベルで侵害されていた場合、あなたのデバイスとウェブサイト間の暗号化ですら、すべてから保護してくれるわけではない。メタデータ、位置情報シグナル、通信パターンは、トラフィックがオープンなインターネットに到達するより前に、ネットワーク層で収集される可能性がある。

これは、ほとんどのサイバーセキュリティの議論で見落とされている点だ。人々はデバイスやパスワードの保護に注力する。それはもちろん非常に重要なことだ。しかし、接続するネットワーク自体も、あなたのセキュリティ体制の一部である。そのネットワークが、あなたの利益と一致しない関係者によって管理または監視されている場合、独立した保護レイヤーが必要となる。

VPNはこの問題に対応する。トラフィックがキャリアのネットワークに入る前に暗号化し、そのインフラ外のサーバーを経由してルーティングするためだ。たとえキャリアのシステムが侵害されていても、ネットワーク層でトラフィックを観察している攻撃者には、実際の通信内容や宛先ではなく、VPNサーバーへ向かう暗号化されたデータしか見えない。すべての問題を解決するわけではないが、キャリアレベルでの受動的な監視のコストと難度を大幅に引き上げることができる。

キャリアを信頼できないインフラとして扱う

セキュリティの専門家は長年、ゼロトラストの原則に基づいて行動してきた。正規に見えるからといって、ネットワークのいかなる部分も本質的に安全だと思い込まないということだ。BPFDoorのキャンペーンは、この原則が企業のITチームだけでなく、一般ユーザーにとっても重要である理由を現実世界で示す好例だ。

あなたのキャリアが誠実に運営していたとしても、自らが知らないうちに侵害された機器を抱えている可能性がある。それが高度持続的脅威の本質だ。ネットワークを管理する責任者の目から見えないよう設計されているのである。

hide.meのようなVPNを日常的に使用することは、ネットワーク接続を適切な懐疑心をもって扱うための実践的な一歩だ。キャリアのインフラから独立した暗号化トンネルを提供し、厳格なノーログポリシーのもとで運営されるプロバイダーが管理する。使用しているネットワーク内部で何が起きているか確認できない場合でも、少なくともトラフィックがデバイスを離れる時点ですでに保護されていることを確保できる。

暗号化の仕組みとネットワークレベルでの重要性についてより深く理解するには、VPNプロトコルがデータをどのように扱うかを調べることが良い出発点となる。キャリアに見えているものとVPNプロバイダーに見えているものの違いを理解することで、今後のデジタルプライバシーに関してより情報に基づいた判断が下せるようになる。

// よくある質問

BPFDoorとは何で、どのように機能するのか？

BPFDoorは、正規の低レベルネットワーク機能であるバークレー・パケット・フィルタリングを利用して、目に見えるネットワークポートを一切開くことなくトラフィックを監視し、隠されたコマンドに応答するLinuxベースのバックドアだ。従来のセキュリティツールは通常、不審な開放ポートをスキャンするため、このマルウェアの検出は非常に困難となっている。

BPFDoorスパイ活動の背後にいるのは誰か？

Red Menshenと呼ばれる中国と関連を持つ脅威アクターが、通信インフラ内にBPFDoorのインプラントを埋め込む活動を行ってきた。このキャンペーンは少なくとも2021年から活動を続けている。

このキャンペーンによって影響を受けた国はどこか？

このキャンペーンは韓国、香港、マレーシア、エジプトの通信ネットワークに影響を与えた。韓国だけで約2700万件のIMSI番号が流出した。

IMSIとは何で、その流出はなぜ重要なのか？

IMSIとは、国際移動体加入者識別番号のことであり、加入者のSIMカードに紐づけられた固有の識別子だ。キャリアインフラとともにIMSIデータへのアクセスを得た攻撃者は、加入者の位置情報の追跡、通信メタデータの傍受、誰が誰と通信しているかの監視を行える可能性がある。

Red Menshenの作戦の主な目的は何だったか？

研究者らによれば、このキャンペーンの焦点は即時の金銭的利益ではなく、長期的な戦略的情報収集にあったとされる。Red Menshenは数ヶ月から数年にわたってキャリアインフラへの持続的かつ静かなアクセスを維持しており、機会主義的な攻撃者というよりも、埋め込まれたスリーパーセルのように行動していた。