出典: nagelestock.net via Alamy Stock Photo
身元不明のハッカーが、非公開のある世界的証券取引所の幹部を、少なくとも5ヶ月にわたって監視し続けていたことが明らかになりました。
今週、SymantecとCarbon Blackが報告したメール諜報活動には、いまだ多くの謎が残っています。背後にいる人物が誰なのか、そして最初にどのようにアクセスを取得したのかも不明なままです。確かなのは、何者かが金融機関の高位幹部が使用するMicrosoft Outlookのメールボックスに密かに、かつ周到に侵入し、数ヶ月分のメールを窃取し続けていたという事実です。
盗まれたメールには、連絡先やカレンダーの予定から個別の商取引の詳細に至るまで、組織に関する機密性の高い情報が含まれていた可能性があります。標的となった組織が大手金融取引所であることを踏まえると、こうした情報は企業や投資家、あるいは外国政府にとって非常に高い価値を持ち得るものです。
「証券取引所や規制当局のような組織は、上場情報、行政処分、市場を動かすイベントなどに関する未公開情報を保有しています」と研究者たちはブログ投稿に記しています。「そのメールボックスへ数ヶ月間にわたって自由にアクセスできれば、攻撃者は標的の業務生活と組織の近未来の方向性についてほぼ完全な全体像を把握できます。」
取引所幹部へのメール諜報活動
サイバーセキュリティの研究者は、ステルス性を持つように設計されたマルウェアや悪意ある挙動を発見することがよくあります。こうした事例は通常、新規性があり興味深いものですが、ある意味では「失敗」とも言えます。本当にステルス性が高ければ、そもそも調査報告書に記載されることはないからです。
今回の事例における脅威アクターの巧妙さは、サイバー防衛担当者が異変に気づいた時点で、攻撃者はすでにターゲットのシステムに侵入し、完全な管理者権限を取得していたという事実が物語っています。
それをどのように実現したかは、いまだ解明されていません。記録として残っているのは、2025年10月10日以降の活動です。SymantecとCarbon BlackのThreat Hunter Teamに所属する脅威インテリジェンス・アナリスト、Marc Elias氏は次のように振り返ります。「端末上で最初に観測した活動の兆候は、おそらく事前に侵害されていた別の機器を起点とした横断的移動(ラテラルムーブメント)に由来するものでした。」その時点で攻撃者はすでに、標的のホストマシン上でシステム権限を持つ2つのインプラントを稼働させていました。一方はAdobeのソフトウェアに見せかけたもの、もう一方はOneDriveを装ったものでした。永続性を確保するため、前者は5分ごとに実行されるスケジュールタスクとして登録されていました。
攻撃の基盤構築フェーズは、1ヶ月後に完了しました。2025年11月12日、攻撃者はDropboxを経由したコマンド&コントロール(C2)チャネルを構築しました。これにより、悪意ある通信が正規のネットワークトラフィックに見えるようになります。また、通常のLenovoシステムヘルスチェックを装った新たなスケジュールタスクを登録してバッチファイルを実行できるようにしています。「Lenovo」という名称を使っている点は、攻撃者がターゲットの端末について詳細な知識を持っていたことを示しています。その後、カスタム製の情報窃取ツール(インフォスティーラー)が展開されました。
このインフォスティーラーは、Aspose社が提供する正規の.NETライブラリを基盤として構築されていました。Asposeは、開発者がファイル形式の作成・編集・変換を行うためのアプリケーション・プログラミング・インターフェース(API)を専門とする企業です。脅威アクターはこの正規ツールを悪用し、標的のメールをローカルファイルに変換した上で、Dropboxを通じて外部に持ち出しました。
高度な標的型攻撃から得られた教訓
攻撃者は2025年8月から同年11月中旬にかけての被害者のメールをすべて窃取しました。その後も、少なくとも2026年2月17日まで、約2〜4週間ごとに標的のメールボックス全体を繰り返し盗み出しています。理由は不明ですが、この時点でデータ持ち出しは終了しており、攻撃者はさらに1ヶ月ほど散発的な活動を続けたようです。
「最後のデータ持ち出しイベントの後、攻撃者は新たなバックドアを設置しました。これが3月19日に端末上で観測された最後の活動です。それ以降、悪意ある活動は検出されていないことから、攻撃者はその日以降に端末へのアクセスを失ったと推測されます」とElias氏は述べています。
攻撃者は周到で高度な戦術を駆使し、粘り強く行動しましたが、決して阻止不可能な存在ではありませんでした。Elias氏は、重要な標的となり得る組織が同様の攻撃から身を守るために取れる対策がいくつか存在すると指摘しています。
「クラウドアクセス・セキュリティ・ブローカー(CASB)とデータ損失防止(DLP)ソリューションを活用することで、クラウドサービスへのデータ持ち出しを検出・防止できたはずです」と同氏は主張します。「また、エンドポイント検出・対応(EDR)ソフトウェアが生成するアラートを積極的にレビューして対処していれば、より早い段階で攻撃を食い止められた可能性があります。」
