サイバー脅威アクターが日本国内のBooking.comパートナー施設の従業員を標的にしています。攻撃者は、ゲストからのクレームやレビュー依頼を装ったフィッシングメールを使い、ホテルスタッフに悪意あるファイルを実行させようとしています。
このキャンペーンで配布されるマルウェア「TONResolver」は、スマートコントラクト上にホストされており、ブロックチェーン技術——具体的にはThe Open Network(TON)ブロックチェーンプラットフォーム——を悪用しています。
このマルウェアは初期アクセスおよびコマンド実行の足がかりとして機能しており、後続の活動からは認証情報の窃取やさらなる侵害が行われる可能性が示されています。
Booking.comパートナーへのフィッシングメール
このキャンペーンは、Trend Microのリサーチ部門であるTrendAI Researchによって2026年5月下旬に検出されました。
Booking.comの日本パートナー企業に対して不審なメールが送付されており、件名には日本語で「重要:ゲスト滞在レビューリクエスト」と記されていました。これらのメールは、標的を攻撃者との会話に引き込むことを目的としています。
脅威アクターが送付したフォローアップメールには、不審なウェブサイトへ誘導するとともにZIPファイルをダウンロードさせるハイパーリンクが含まれていました。
ZIPファイルの中には写真ファイルに偽装したショートカットリンクファイル(LNK)が仕込まれており、PowerShellスクリプトを介してTrojanSpy.JS.TONRESOLVER.A——リモートアクセス型トロイの木馬(RAT)として機能するマルウェアインプラントで、TrendAIの研究者はこれを単に「TONResolver」とも呼んでいます——がインストールされる仕組みになっていました。
さらに、異なる件名(一部は英語)の悪意あるメールが、日本国内のほかのBooking.com宿泊パートナーや、オーストリア、オーストラリア、フランス、ドイツ、インドネシア、イタリア、オランダ、ロシア、韓国、トルコ、英国、米国などの各国パートナーにも送付されていました。
ただし、6月29日に公開されたTrendAIのレポートによれば、日本のホスピタリティ企業が圧倒的に主要な標的となっていました。
これらのメールはスケジューリングツールサービスの通知機能を利用して送付されており、Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication, Reporting, and Conformance(DMARC)といったドメイン認証技術に基づく従来型のメールセキュリティ制御を巧みに回避していました。
TONブロックチェーン上のマルウェアインフラ
従来のフィッシングキャンペーンとは異なり、本キャンペーンで配布されるマルウェアインプラント「TONResolver」は、TONブロックチェーンプラットフォームをデッドドロップリゾルバーとして悪用しています。この手法により、攻撃者はコマンド&コントロール(C2)サーバーの接続先をマルウェアにハードコードすることなく更新できるため、検出や無効化が大幅に困難になっています。
TONはもともとTelegramが「Telegram Open Network」という名称で開発しましたが、現在は主にTON Foundationによって開発・運営されています。
検出をさらに困難にするため、攻撃者はマルウェアをNode.jsアプリケーションとしてパッケージ化し、仮想マシンベースの難読化を適用しています。この手法はコードを保護された実行環境内にラップするもので、セキュリティ研究者が静的解析だけでロジックを容易に解析できないようにしています。
こうした技術の組み合わせにより、マルウェアのリバースエンジニアリングは非常に困難なものとなっています。
LNKファイルを実行してNode.js経由でTONResolverを起動しても、直ちにファイルや認証情報が窃取されるわけではありませんが、マルウェアは攻撃者のサーバーとの持続的な「keepalive」接続を確立します。
このバックドア機能により、攻撃者は任意のタイミングで追加コマンドを実行したり、さらなるペイロードを展開したりすることが可能となっています。また、エンドポイントの詳細情報やIPアドレス情報に基づいて、フォローアップ攻撃の対象が選別されていることも示唆されています。
「キャンペーンの進行に合わせて、新たなドメイン登録やC2サーバーの切り替えも実施されており、攻撃者が攻撃のトレンドと成功率を常時監視していることがうかがえます」とTrendAIの研究者たちは述べています。
TrendAIが推奨する緩和策
TrendAIの研究者たちは、調査結果をもとに、この種の脅威を軽減するために以下の対策を推奨しています。
- ブロックチェーンプラットフォームへのアクセス制限:インターネットに面したエンドポイントにプロキシゲートウェイを導入し、TONネットワークなどのブロックチェーンプラットフォームへのアクセスをブロックする接続フィルタリングを適用する
- Node.js実行の監視と制限:アプリケーション制御ポリシーを実装し、Node.jsの不審な使用——特に自動実行エントリの作成や予期しない場所からの実行——を監視・制限する
- PowerShellによる不正なネットワーク通信のブロック:エンドポイントのファイアウォール機能を利用し、PowerShellが外部IPアドレスへ開始するアウトバウンド通信を制限する
- PowerShellベースのWebリクエストのフィルタリング:Webゲートウェイまたはインターネットアクセスポリシーを設定し、PowerShellベースのUser-Agent文字列を含むアウトバウンドHTTPリクエストをブロックする
翻訳元: https://www.infosecurity-magazine.com/news/hackers-blockchain-japan-hotels/
