【中国】スプレッドシートが盗聴基地に——UNC2814が10年で侵害した42カ国の構造

Googleスプレッドシートが「指令塔」に——GRIDTIDEバックドアの衝撃

2026年2月、Google脅威インテリジェンスグループ（GTIG）は、中国政府と連携する諜報グループ「UNC2814」が世界42カ国・53組織の通信企業と政府機関に長期侵入していたキャンペーンを解体したと発表した。この作戦を10年以上支えたのは、GRIDTIDEと名付けられたバックドアマルウェア——そしてその「指令塔」として使われたのは、誰もが日常的に使うGoogleスプレッドシートだった。

GTIGの報告によれば、53組織での侵害が確認され、さらに20以上の組織で感染が疑われている。攻撃対象地域はアフリカ、アジア、アメリカ大陸に及び、UNC2814は2017年以降にGTIGが追跡してきた「多産かつ捕捉困難」なAPT（高度持続的脅威）グループだ。

元記事・原文引用

元ネタ：China-linked hackers used Google Sheets to spy on telecoms and governments across 42 countries（CSO Online / 2026年2月25日）

“The backdoor leverages Google Sheets as a high-availability C2 platform, treating the spreadsheet not as a document, but as a communication channel.”

正規サービスが「武器インフラ」に変わるまで——GRIDTIDEの仕組みと巧妙さ

GRIDTIDEはCで書かれたバックドアで、任意のシェルコマンド実行・ファイルのアップロード・ダウンロードが可能だ。最大の特徴はGoogle Sheetsをコマンド＆コントロール（C2）プラットフォームとして使う点にある。

仕組みはシンプルかつ巧妙だ。攻撃者はスプレッドシートのセルA1にコマンドを書き込む。感染端末上のGRIDTIDEは1秒ごとにスプレッドシートをポーリング（問い合わせ）し、コマンドを読み取って実行する。実行後はA1の内容をステータスレポートで上書きし、痕跡を即座に消去する。ファイルの転送も隣接セルを使って行われ、ネットワーク上の通信パターンはGoogleの正規APIトラフィックに完全に溶け込む。

これはサイバー攻撃における「Living off the Land（環境寄生型）」戦術の進化形だ。従来は「OS標準ツールを悪用してマルウェアを持ち込まない」手法だったが、UNC2814はさらに一歩進め、「攻撃インフラそのものを正規クラウドサービスに丸ごと委託する」構造を実現した。加えて、2018年7月からはSoftEther VPNブリッジを使って通信経路も隠蔽していた。

標的となったのは、氏名・電話番号・生年月日・有権者ID・国民IDなどの個人情報を保管するエンドポイントだ。GTIGはこのパターンが「特定人物の識別・監視」という通信諜報活動の目的と一致していると分析している。

Googleが断ち切るまで——セキュリティコミュニティが受けた「驚き」

Googleは今回の解体作戦で、攻撃者が制御していたGoogleクラウドプロジェクトをすべて削除し、APIアクセスの取り消し、ドメインのシンクホール化（悪意あるドメインへの接続を無効化する手法）、被害組織への侵害指標の通知を実施した。

セキュリティ業界の反応は「驚き」と「懸念」の両面をはらんでいる。多くの専門家が指摘するのは、この手法の検出困難さだ。ファイアウォールやデータ損失防止ツールの多くは、GoogleのAPIトラフィックを「業務上の正規通信」として扱い、ブロックするどころか精査すらしない。CSO Onlineは「正規クラウドプラットフォームのトラフィックを疑うことは、ほとんどの企業の想定外だった」と報じた。

また、2017年からGTIGが追跡していながら解体まで約9年かかった事実も、UNC2814の隠密性の高さを示している。被害が判明した42カ国にはアジア地域が含まれ、日本の主要通信事業者や政府機関のシステムも、こうした手法に対する防衛態勢が問われる局面にある。

「Googleを疑え」は現実的か——日本の通信・政府インフラへの示唆

日本でも2025年以降、内閣サイバーセキュリティセンター（NISC）は中国系APTグループによる重要インフラへの侵害リスクを継続警告している。GRIDTIDEの手法が示す教訓は明確だ——「信頼できるクラウドサービスへのトラフィック」は無条件に安全ではない。

具体的な対策として、セキュリティ専門家は次を提言している。①GoogleやMicrosoft等の正規APIトラフィックにおける異常なポーリングパターンの検出、②ゼロトラストアーキテクチャの徹底（サービス別のアクセス制御）、③端末上でのシステムサービス登録の監視（GRIDTIDEはsystemd常駐サービスとして永続化していた）。

「敵はもはやダークウェブで怪しいインフラを調達しない。あなたの会社が契約しているクラウドを借りる」——この転換点を、UNC2814の解体は突きつけている。日本の通信・政府インフラの担当者は今、何を見直すべきか。

参照・原文リンク

• CSO Online：China-linked hackers used Google Sheets to spy on telecoms and governments across 42 countries（2026年2月25日）
• Cybersecurity Dive：China-linked hackers breached dozens of telecoms, government agencies（2026年2月25日）
• Google Cloud Blog：Disrupting the GRIDTIDE Global Cyber Espionage Campaign

ゼロトラスト Googleが選んだ最強のセキュリティー