米国インフラを標的とするイラン系脅威アクターの特定
IntraceがOptivのコンサルタントのデスクトップのホスト名をWater Blackのダークウェブデータの中に検知したことをきっかけに、調査によってイラン系インフラ、パーキングドメインへのビーコン通信、そして高価値のセキュリティ専門家を狙った多段階の侵害が明らかになりました。

7月、Intraceを利用していたOptivの従業員は、自身の個人ワークステーションが「Water Black」と呼ばれるマルウェアグループに関連するダークウェブデータに現れていることを知りました。彼のデスクトップのホスト名が、Intraceが監視するアンダーグラウンドのデータソースで観測されており、このマシンが侵害されていただけでなく、高価値標的(high-value target)としてタグ付けされていたことを示唆していました。この位置づけは彼の職務と整合的でした。彼は以前、大規模なランサムウェア案件でインシデントレスポンス業務を主導しており、報復や防御手法に関する情報収集に関心を持つ脅威アクターにとって魅力的な標的だったのです。
ダークウェブでの発見とホスト名の露出
調査の出発点となったシグナルは、シンプルでありながら深刻なものでした。Intraceのダークウェブモニタリングが、Water Blackに関連するデータの中に、このコンサルタントのデスクトップのホスト名を検知したのです。
ホスト名とは、ネットワーク上のマシンに付けられた人間が読める形式のラベルです(例:JOHN-DESKTOPやCORP-LAPTOP-01)。脅威アクターの資料の中にホスト名が見つかるということは、通常、攻撃者がそのデバイスまたはその環境に対して少なくとも何らかのレベルのアクセスを達成していることを意味します。汎用的なIPアドレスや匿名化された被害者への言及だけでなく、特定のデスクトップのホスト名が現れたことは、そのデバイス自体がキャンペーンの一部であったことを示す強力な指標です。単なるインターネットスキャナーの偶然のヒットではありません。
インフラとの関連付け
初期トリアージの過程で、IntraceはWater Blackへの言及をインターネットに面したインフラと突き合わせました。チームは、waterblackというホスト名を持つ単一のホストがインターネット上に存在し、イラン系事業者が支配するワイオミング州のデータセンターでホスティングされていることを特定しました。この時点で判明していたのは以下のとおりです。
- ホスティング会社はRouterHosting, LLCで、後にCloudsyへとブランド名を変更しています。
- この同じプロバイダーは、政府系ハッキンググループを複数支援しているとして公開報道で言及されており、これが無差別なコモディティマルウェアのインフラではなく、より組織化された作戦の一部である可能性を高めていました。
これが重要なのは、インフラの帰属分析が侵入分析の中核をなすためです。国家系グループとの過去の関連が指摘されているプロバイダーやデータセンターに、新たな不審なドメインやサーバーが現れた場合、相手が単なる日和見的な犯罪者ではなく、高度な、場合によっては政府系の脅威アクターである可能性への確信が高まります。
DNSとトラフィックのパターン
Intraceはワークステーション本体についても、外向きの接続とDNS解決のパターンを調べました。数週間にわたり、このマシンは新規登録された「パーキング(parked)」ドメインへ頻繁に接続していました。それらのドメインの多くは、イラン系の所有と結びついた同じホスティングプロバイダーのインフラへ名前解決されていました。
パーキングドメインとは、登録はされているものの、実際のウェブサイトとしては積極的に使われていないドメイン名のことです。通常は汎用的な仮置きページや広告が表示されます。攻撃者がパーキングドメインやほぼ空のドメインを好んで使うのは、次の理由からです。
- 安価で、まとめて大量に登録しやすい。
- ざっと見ただけではほぼ無害に見える。
- ブロックを回避するために新しいサーバーへ素早く付け替えられる。
繰り返される接続パターンは、ビーコン通信の挙動を示唆していました。すなわち、侵害されたホストが指示や更新を求めて、攻撃者の支配するインフラへ定期的に接続しているということです。これはコマンド・アンド・コントロール(C2)型マルウェアによく見られる設計で、感染したマシンが遠隔サーバーへ定期的にチェックインし、状態を送信してコマンドを受け取ります。
即時の防御措置として、コンサルタントはネットワークレベルでパーキングドメインへのアクセスをブロックしました。これは分析の観点から興味深い対応です。主要なC2チャネルを遮断すると、マルウェアはフォールバック機構、設定ミス、エラー時の挙動を露呈させられることが多いからです。そして、まさにそれが次に起こったことでした。
「MicrosoftSecurityApp.exe」のクラッシュ
パーキングドメインをブロックしてから数日以内に、MicrosoftSecurityApp.exeという名前のプロセスがワークステーション上でクラッシュしました。
このバイナリ名は、いくつかの理由で不審です。
- よく知られた文書化済みの製品とは一致しないにもかかわらず、いかにもありそうなMicrosoftのセキュリティコンポーネントを装っている。
- マルウェアは、正規のシステムプロセスに紛れ込むために、偽の、あるいは紛らわしいファイル名(たとえば名前に「Microsoft」「Security」「Update」「Service」を加えるなど)を使うのが常套手段である。
外向き接続がブロックされた直後にクラッシュしたことは、このプロセスが、C2ドメインへの到達を試みて失敗したマルウェアの中核エージェントであったか、あるいは外向き通信の成功に依存するローダーまたはウォッチドッグであり、その通信が途絶えたためにクラッシュしたことを示唆しています。分析の観点から見ると、これはストレス下での挙動の典型例です。C2が遮断されると、高度なマルウェアはクラッシュしたり、再起動したり、バックアップチャネルに切り替えたり、ローカルの永続化機構をより積極的に試したりすることがあります。
ローカル永続化の手がかり
クラッシュしたMicrosoftSecurityApp.exeへの対処の後、ワークステーションはGame Barの起動を試みました。Game Barは、通常はゲーミングオーバーレイや画面キャプチャに使われるWindowsの組み込みコンポーネントです。コンサルタントは以前、不審な挙動を理由にGame Barを無効化していたため、この再有効化の試みは注目に値するものでした。
Windowsレジストリでは、Game BarはAppXで始まるエントリの下で参照されていました。他のAppXエントリはFTPとSSHを指していました。
AppXは、モダンなWindowsストアアプリ向けのMicrosoftのパッケージ形式です。マルウェアは、アプリコンテナの仕組み、スケジュールされたタスク、AppXマニフェストを永続化のために悪用することがあります。FTP(File Transfer Protocol)とSSH(Secure Shell)は標準的なプロトコルで、FTPは多くの場合平文でのファイル転送に、SSHは暗号化されたリモートログインとトンネリングに使われます。
サーバーとして動作するはずのない個人用ワークステーションで、FTPとSSHを指すAppXエントリが見つかるのは異常です。これは、マルウェアがリモートのFTP/SSHエンドポイントとやり取りするアプリ風のエンティティやスケジュールタスクを登録した可能性、あるいはパーキングドメイン経由のHTTP/HTTPS C2とは別に、データ持ち出しやコマンド受信のための代替チャネルを構築した可能性を示唆しています。
Game Barの再有効化ないし起動の試みは、画面録画やユーザー監視のためにGame Barのオーバーレイ・キャプチャ機能を悪用しようとしたこと、または明白に悪意のあるバイナリの使用を減らす「環境寄生型(living-off-the-land)」戦略の一環として正規のWindowsコンポーネントを利用しようとしたことを示している可能性があります。
ネットワークアーティファクト:TCP 22と「GhostContainer」への関連
この期間中、コンサルタントは52.98.240.82というアドレスへのポート22のTCP接続を観測しました。
TCPポート22は、ほぼ例外なくSSHに関連付けられています。当該IPは正規のインフラ(クラウドやSaaSプロバイダーなど)に紐づいていますが、オンライン上の議論では「GhostContainer」と呼ばれるものとの関連が指摘されていました。GhostContainerは、セキュリティ研究者によって文書化された、Microsoft Exchangeサーバーを標的とするバックドアです。攻撃者に対し、コマンドの実行やラテラルムーブメント(横展開)を含む、Exchange環境への永続的なリモートアクセスを提供します。
コンサルタントのマシンはExchangeサーバーではありませんでしたが、GhostContainerに関する報告と結びついたアドレスへのTCP 22上のSSH様の挙動があり、かつそのホストが以前から国家系インフラに紐づく不審なドメインへビーコン通信を行っていたという事実は、このワークステーションが、他所でGhostContainerを展開するのと同じアクターが使う、より広範なツールセットの一部であった可能性、あるいは信頼されたエンドポイントからExchange側の作戦を監視・管理するための中継点や観測ノードとして使われていた可能性を示唆しています。
これは高価値標的への侵害のパターンと一致します。単にファイルを盗むのではなく、攻撃者はおそらく、ピボット(侵入拡大の足がかり)に使える、インシデントレスポンスの動きを観察できる、あるいは企業システムが強化されていく中でもアクセスを維持できる、環境内の信頼されたマシンを欲していたのです。
不正なルート証明書のインストールの試み
コンサルタントはまた、不正なルート認証局(Root CA)をインストールしようとする試みがあったことを思い出しました。
これは極めて重要な細部です。ルートCA証明書は、オペレーティングシステムやブラウザが暗号化接続(HTTPSなど)を信頼できるかどうかを判断するために使うアンカーの一つです。攻撃者が自らの悪意あるルート証明書をシステムにインストールすることに成功すれば、次のことが可能になります。
- 本来は安全なTLSトラフィック(ウェブメール、ダッシュボード、管理ポータルなど)を傍受・復号する。
- 任意のドメイン(outlook.com、vpn.company.comなど)の偽証明書を提示し、侵害されたシステム上ではそれを有効なものとして見せる。
実際には、これにより攻撃者は証明書の警告を発生させることなく被害者の通信に対する中間者(MITM)攻撃を実行し、インシデントレスポンスのメールのやり取り、チケッティングシステム、その他の機密性の高い通信を読んだり改ざんしたりできるようになります。ルートCAインストールの試みは、素早い「奪って逃げる」型の活動ではなく、永続化と監視の意図を示す強力な指標です。
なぜこの人物が標的になったのか
被害者は無作為に選ばれたのではありません。Intraceがダークウェブ上の言及とその文脈をレビューした結果、彼が高価値標的として明示的にラベル付けされていたことが判明しました。この位置づけは、大規模なランサムウェア案件における彼の過去のインシデントレスポンス業務に由来する可能性が高いと考えられます。
攻撃者の視点から見ると、防御体制と対応プロセスに深い可視性を持つ人物を侵害することで、防御側が特定の侵入をどのように検知し対応するかに関するインテリジェンス、過去に自分たちの作戦を妨害した人物への揺さぶりや報復の手段、そして価値ある人脈や文書へのアクセスが得られます。それらが主に企業システム側にあるとしても、個人のワークステーションはしばしばサイドチャネルとして使われるからです。
個人への標的化、イラン系インフラ、パーキングドメインへのビーコン通信、不正ルートCAの試み、バックドア様の挙動——この組み合わせは、無差別のドライブバイ型マルウェアではなく、意図的で多段階の侵入と整合しています。
Intraceはどのように調査を構造化したか
Intraceの視点から見ると、この調査は明確な構造に沿って進められました。
ダークウェブからのシグナル取り込み
- Water Black関連データの中からホスト名と高価値標的の指定を検知する。
- 言及されたホストがOptivのコンサルタントのものであることを確認する。
インフラの相関分析
- ワイオミング州のイラン系データセンターでwaterblackホストを発見する。
- 同じプロバイダーへ名前解決される関連パーキングドメインをマッピングする。
- このホスティング会社と政府系グループの関与に関する過去の報道と相互参照する。
ホストのテレメトリと挙動
- 数週間にわたるパーキングドメインへの外向き接続を調べる。
- MicrosoftSecurityApp.exeを不審なプロセスとして特定し、ネットワークブロック実施前後の挙動を分析する。
- Game Bar、FTP、SSHへのAppX参照を含むレジストリエントリをレビューする。
ネットワークアーティファクトと外部ツールとの関連
- 52.98.240.82へのTCP 22トラフィックと、GhostContainerに関する議論での言及を記録する。
- 観測された挙動がバックドアまたはラテラルムーブメントのパターンに当てはまるかを評価する。
信頼と暗号の完全性
- 不正なルートCAのインストールの試みを調査する。
- 暗号化トラフィックが継続的に傍受されるリスクを評価する。
封じ込めと強化の提言
- ワークステーションを機微な環境から隔離する。
- 不審なバイナリとレジストリエントリを除去する。
- 認証情報をリセットし、多要素認証を強化する。
- 厳格なDNSおよびエグレス(外向き通信)統制を実施し、新たなパーキングドメインと不審なSSHトラフィックを監視する。
- マシン上の信頼された証明書を監査し、許可されていないCAを失効させる。
結果
ダークウェブインテリジェンス、インフラ分析、ホストフォレンジック、そしてネットワークアーティファクトの慎重な解釈を組み合わせることで、Intraceは侵害の経路を再構築し、Optivのコンサルタントがいかにしてイラン系脅威活動の標的型被害者となったかを解明することができました。この事例が浮き彫りにしたのは次の点です。
- セキュリティ専門家が使用する個人デバイスは、戦略的な標的になり得る。
- パーキングドメインと無名のホスティングプロバイダーは、目立たないC2インフラとして機能し得る。
- 不正なルート証明書のインストールの試みや、Game BarのようなWindows組み込みコンポーネントの悪用は、ノイズではなく、長期的でステルス性の高いアクセスの獲得という目的と整合する。
Optivはこれらの調査結果を活用してインシデントを封じ込め、コンサルタントの環境を強化し、他のエンドポイントやクライアントを横断して同様のパターンを探す検知ロジックを調整しました。