Signal経由でDark Crystal RAT攻撃：ウクライナ防衛部門が標的に

2025年3月21日8:25

サイバーセキュリティニュース

Signal経由でDark Crystal RAT攻撃：ウクライナ防衛部門が標的に - innovaTopia - （イノベトピア）

Last Updated on 2025-03-21 10:53 by admin

ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、ウクライナの防衛部門を標的とした新たなサイバースパイキャンペーンについて警告を発している。

2025年3月初旬に発見されたこの攻撃では、Dark Crystal RAT（DCRat）と呼ばれるマルウェアが使用されている。

攻撃の標的は防衛産業複合企業の従業員およびウクライナ国防軍の関係者である。攻撃者はSignalメッセージングアプリを通じて悪意のあるメッセージを配布しており、これらのメッセージには会議議事録を装ったアーカイブファイルが含まれている。一部のメッセージは、攻撃成功率を高めるために、以前に侵害されたSignalアカウントから送信されている。

アーカイブファイルには囮のPDFと実行ファイルが含まれており、実行ファイルは「Dark Tortilla」という名前の.NET系暗号化ツールで、DCRatマルウェアを復号化して実行する。DCRatは任意のコマンドの実行、情報の窃取、感染デバイスへの遠隔制御を可能にするリモートアクセストロイである。

CERT-UAはこの活動をUAC-0200という脅威グループに帰属させており、このグループは少なくとも2024年夏から活動していることが確認されている。2025年2月以降、フィッシング用の囮メッセージは無人航空機（UAV）や電子戦システムなど、軍事関連技術に焦点を当てた内容に変化している。

ウクライナの法執行機関はSignalに対してロシアのサイバー脅威に関する対応を要請したが、回答が得られていないとされる。ウクライナ国家安全保障防衛会議のセルヒー・デメディウク副書記は、Signalがその無対応によってロシアの情報収集活動を助長していると批判している。一方、Signalのメレディス・ウィテイカーCEOはこれを否定し、いかなる政府とも公式には協力していないと述べている。

2025年2月、GoogleのThreat Intelligence Groupは、ロシアのハッカーがSignalの「リンクされたデバイス」機能を悪用して、関心のあるアカウントへの不正アクセスを試みていると報告している。

from:Ukraine Defense Sector Under Attack Via Dark Crystal RAT

【編集部解説】

ウクライナの防衛部門を標的としたサイバー攻撃事案について、複数の情報源を確認したところ、報道内容はおおむね一致しています。この事案は2025年3月に入って発覚したもので、ウクライナのコンピュータ緊急対応チーム（CERT-UA）が公式に警告を発しています。

この攻撃の特徴的な点は、暗号化メッセージングアプリ「Signal」を介して行われていることです。Signalはプライバシー保護に優れたアプリとして知られていますが、その信頼性が逆に悪用されているケースと言えるでしょう。

攻撃者はUAC-0200と呼ばれる脅威グループで、少なくとも2024年夏から活動していることが確認されています。2025年2月以降、彼らの攻撃は無人航空機（UAV）や電子戦システムなど、より具体的な軍事技術に焦点を当てるようになりました。これは、彼らの情報収集活動がより精緻化していることを示唆しています。

特に注目すべきは、攻撃者が既に侵害したSignalアカウントを利用している点です。受信者の連絡先リストに既に存在する信頼できる相手からのメッセージに見せかけることで、被害者が悪意のあるファイルを開く可能性を高めています。これは高度なソーシャルエンジニアリング手法と言えます。

Dark Crystal RAT（DCRat）自体は、ロシアの開発者によって作成されたリモートアクセストロイで、初心者ハッカーでも利用できる一方で、高度な機能も備えています。このマルウェアは感染したデバイスで任意のコマンドを実行し、データを盗み出し、完全な遠隔制御を確立することが可能です。

この事案は、現代のサイバー戦争の実態を如実に示しています。物理的な戦闘と並行して、情報戦も激化しているのです。特に防衛部門や軍事関連の情報は国家安全保障に直結するため、こうした標的型攻撃は深刻な脅威となります。

また、この事案はSignalのようなセキュアなメッセージングアプリでさえ、サイバー攻撃の媒介となり得ることを示しています。技術的なセキュリティだけでなく、ユーザーのセキュリティ意識も重要であることが改めて浮き彫りになりました。

興味深いのは、ウクライナ政府とSignalの間の緊張関係です。ウクライナ側はSignalに対してロシアのサイバー脅威に関する対応を要請したものの、適切な対応が得られていないと主張しています。一方、Signal側はいかなる政府とも公式には協力していないと反論しています。これは、プライバシー保護とセキュリティ対策のバランスという、デジタル時代の難しい課題を示しています。

企業や組織にとっての教訓としては、メッセージングアプリを含む全ての通信チャネルにおけるセキュリティ対策の重要性が挙げられます。特に添付ファイルの自動ダウンロード機能の無効化や、リンクされたデバイスの定期的な確認など、基本的な対策が重要です。

このような国家支援型の攻撃手法は、やがて一般的なサイバー犯罪にも応用されることが多いため、民間企業も他人事ではありません。最新のセキュリティ対策と従業員教育を継続的に行うことが、デジタル時代のリスク管理には不可欠です。

【用語解説】

Dark Crystal RAT (DCRat):
2018年に登場したリモートアクセストロイの一種。C#で書かれており、Malware-as-a-Service（MaaS）モデルで提供されている。キーロギング、ウェブカムアクセス、ファイル窃取、パスワード抽出などの機能を持つプラグインを追加できる。

リモートアクセストロイ (RAT):
攻撃者が被害者のコンピュータを遠隔操作できるようにする悪意のあるソフトウェア。一般的な遠隔操作ソフトと違い、ユーザーに気づかれないように動作する。

CERT-UA:
ウクライナのコンピュータ緊急対応チーム。国内のサイバーセキュリティインシデントに対応する政府機関である。

UAC-0200/UNC-200:
サイバー攻撃活動を行うグループの識別コード。UNCはMandiant社が未分類の脅威アクターを追跡するために使用する命名規則である。

Signal:
プライバシーを重視したエンドツーエンド暗号化メッセージングアプリ。音声通話、ビデオ通話、ファイル共有などの機能を持つ。

【参考リンク】

Signal公式サイト（外部）
プライバシーを重視したエンドツーエンド暗号化メッセージングアプリの公式サイト

CERT-UA（ウクライナコンピュータ緊急対応チーム）（外部）
ウクライナのサイバーセキュリティインシデントに対応する政府機関の公式サイト

Mandiant（現Google Cloud）（外部）
高度なサイバー脅威に対する調査・対応を行うセキュリティ企業のサイト

【編集部後記】

普段何気なく使っているメッセージアプリも、サイバー攻撃の入り口になり得ることをご存知でしたか？信頼できる相手からのメッセージでも、添付ファイルやリンクには注意が必要です。皆さんの組織ではどのようなセキュリティ対策を講じていますか？また、プライバシー保護と安全性確保のバランスについて、どのようにお考えでしょうか？SNSでぜひ皆さんの意見をお聞かせください。