出典: Tuomas Lehtinen via Alamy Stock Photo
トルコのスパイグループが、イラクで活動するクルドの軍事勢力をスパイするために、メッセージングアプリの脆弱性を1年間利用しています。
そのアプリはOutput Messengerで、Google Playストアから50,000以上のダウンロードがあるマルチプラットフォームの企業向けメッセージングサービスです。プライベートで安全なソリューションとして販売されており、超機密の通信を管理する組織にとって魅力的な選択肢となる可能性があります。そのような組織の一つが、イラク北部のクルド地域を統制する軍事グループ、ペシュメルガです。
少なくとも40年間、クルドの武装勢力はトルコ国家と対立しており、クルド人はトルコで最大の少数民族です。現在、歴史的な緊張緩和の中で、マイクロソフトは一方が情報で優位に立っていることを明らかにしました。新しいブログ投稿によると、トルコに関連する高度持続的脅威(APT)が、Output Messengerのゼロデイバグを利用して、2024年4月からクルドの軍事をスパイしています。
Sea TurtleがOutput Messengerを悪用
このスパイ活動を行っているAPT、Sea Turtle — マイクロソフトが「Marbled Dust」と呼ぶ — は、長い間ドメインネームシステム(DNS)ハイジャックに特化しており、DNSレスポンスを操作してターゲットを正規のウェブサイトから悪意のあるサイトにリダイレクトします。
関連記事:インド・パキスタン紛争中のハクティビストの影響は小さい
DNSハイジャック以外にも、Marbled Dustはタイプスクワッティングドメインを使用して被害者を罠にかけてきました。したがって、マイクロソフトは、このキャンペーンでクルドの軍事ターゲットからOutput Messengerの資格情報を盗むために、これらの2つの戦術のいずれかを使用したと推測しました。
有効な資格情報により、攻撃者はOutput Messengerのファイルアップロード機能を利用することができました。このアプリを実行しているサーバーの所有者は、出力ドライブを有効にすることができ、ユーザーはアプリを実行しているサーバーにファイルをアップロードおよびダウンロードできます。これらのファイルは事前に定義された場所に保存されることになっていますが、ここでゼロデイが発動しました。
CVE-2025-27920は、ファイルパスの不適切な処理に起因する古典的なディレクトリトラバーサルの脆弱性で、Common Vulnerability Scoring System(CVSS)で「重大」な9.8/10のスコアが付けられています。これを武器化するために、攻撃者はアップロードしたファイルの「名前」フィールドを変更して、実際に配置したいディレクトリの場所を示す文字列を含めるだけで済みました。この場合、彼らはサーバーのスタートアップフォルダを狙い、Golangベースのバックドアと2つ目のGolangバックドアのインストーラーを設置しました。
その時点から、クルドのターゲットがファイルをアップロードしたり、他のユーザーにメッセージを送信したりするたびに、Sea Turtleは感染したサーバーを通じてアクセスできました。
関連記事:パハルガム攻撃後、ハクティビストが#OpIndiaの下で団結
オンプレミス展開: セキュリティ機能か欠陥か?
暗号化されたデータの転送やログに残らないメッセージなど、他のセキュリティとプライバシーに配慮した機能を宣伝しているOutput Messengerは、組織が自社のオンプレミスサーバーで実行するように設計されています。ここでの魅力は、無許可のアクセスを非常に懸念する人々が、すべてのチャットを自分たちの比喩的、または時には文字通りの四壁の中に保つことができるという点です。
それでも、ソフトウェアをオンプレミスで展開する際にはセキュリティ上の欠点があります。「最大の違いの一つは、ソフトウェアを最新の状態に保ち、パッチを適用する責任のシフトです。ソフトウェアを自分で展開する場合、ソフトウェアを安全に保つ責任を負い、定期的な更新を含みます」とSecurityScorecardの最高情報セキュリティ責任者(CISO)であるSteve Cobbは説明します。パッチ管理に加えて、「ゼロデイの場合、公開されている資産に対する補償制御の責任も含まれます。これらの制御には、ネットワークの分離、IPソースフィルタリング、アプリケーションフィルタリングなどが含まれる可能性があります。」
CVE-2025-27920は、組織がセルフホスティングを考慮する必要がある理由の一例です。Sea Turtleは少なくとも7〜8ヶ月間、ゼロデイとしてCVE-2025-27920を最初に悪用しました。2024年のクリスマスの日に、Output Messengerの開発者であるSrimaxが問題を修正しました。それ以降も、マイクロソフトは修正がインストールされていないクルドのイラクのターゲットをSea Turtleが悪用しているのを観察しました。
関連記事:「レモン・サンドストーム」が中東インフラへのリスクを強調
「組織は、オンプレミスまたはクラウドアプリケーションを選択する際に、これらの要因(パッチ管理、アクセス制御など)を考慮し、アプリケーションを自分たちでホストするために必要な可用性と専門知識があるかどうかを判断する必要があります」とCobbは言います。
マイクロソフトはこのストーリーに関するコメントを控えました。