Last Updated on 2025-05-14 08:43 by admin
トルコ政府関連のサイバースパイグループ「MarbledDust(マーブルダスト)」が、インド企業Srimaxが開発したエンタープライズメッセージングアプリ「Output Messenger」のゼロデイ脆弱性(CVE-2025-27920)を2024年4月から1年以上にわたって悪用し、イラクのクルディスタン自治区の治安部隊「ペシュメルガ」の情報を収集していたことがマイクロソフトの調査で明らかになった。
この脆弱性はOutput Messengerのバージョン2.0.62に存在するディレクトリトラバーサルの脆弱性で、Srimaxは2024年12月にセキュリティアップデート(バージョン2.0.63)を提供したが、すべてのユーザーが修正を適用したわけではなく、一部では攻撃が継続している可能性がある。
MarbledDustは、他のセキュリティ研究者からSea Turtle、COSMIC WOLF、SILICON、Teal Kurma、UNC1326などの名前でも追跡されている脅威グループで、2017年から活動していると考えられている。このグループは2017年から2019年の間は主にDNSハイジャックを使用し、その後も主にトルコ政府の利益に反する政府機関や組織を標的にしており、中東や北アフリカの公共・民間団体を攻撃してきた。
攻撃の手法としては、MarbledDustのハッカーがOutput Messenger Server Managerに認証済みユーザーとしてアクセスし、CVE-2025-27920を悪用してOM.vbsとOMServerService.vbsという悪意のあるファイルをサーバーのスタートアップフォルダにドロップ。また、別の悪意のある実行ファイルであるOMServerService.exeをサーバーのUsers/public/videosディレクトリに送信した。
OMServerService.exeはGo言語で書かれたバックドアで、ハードコードされたドメイン「api.wordinfos[.]com」に接続してデータを流出させていた。クライアント側では、インストーラーが正規のOutputMessenger.exeと、もう一つのGo言語で書かれたバックドアであるOMClientService.exeの両方を展開して実行していた。
マイクロソフトはこの脆弱性とは別に、同じバージョンに存在するリフレクテッドクロスサイトスクリプティング(XSS)の脆弱性(CVE-2025-27921)も発見したが、この脆弱性が実際に悪用された証拠は見つかっていないとしている。
マイクロソフトによれば、MarbledDustがOutput Messengerのゼロデイ脆弱性を成功裏に使用したことは新しい行動パターンであり、このグループの技術的洗練度が増したことを示唆している。
References:
Türkiye-linked spy crew exploited a messaging app zero-day to snoop on Kurdish army in Iraq
【編集部解説】
今回のMarbledDustによるOutput Messengerの脆弱性悪用事例は、国家支援型サイバー攻撃の進化と持続性を示す重要な事例です。複数の情報源を確認したところ、事実関係に大きな矛盾はなく、マイクロソフトの脅威インテリジェンスチームによる調査結果が主な情報源となっています。
注目すべき点は、この攻撃が2024年4月から2025年5月現在まで、実に1年以上にわたって継続していたことです。サイバーセキュリティの世界では、ゼロデイ脆弱性(公開されていない未修正の脆弱性)の発見から修正までの期間を「窓」と呼びますが、この事例ではその「窓」が異常に長期間開いていました。
MarbledDustは2017年から2019年の間は主にDNSハイジャックを使用していましたが、今回のゼロデイ脆弱性の発見と長期間にわたる悪用は、その技術的能力が著しく向上していることを示しています。マイクロソフトの分析によれば、これはグループの作戦目標の優先順位が高まったか、より緊急性を帯びたことを示唆しているとのことです。
特に技術的に興味深いのは、攻撃者がクライアント・サーバー型のメッセージングアプリの両側に侵入し、正規ファイルに偽装したバックドアを仕掛けるという高度な手法を用いていることです。Go言語で書かれたマルウェアの使用も、検出回避のための最新技術の採用を示しています。
この事例から企業や組織が学ぶべき教訓は明確です。マイナーと思われるソフトウェアであっても、特定の組織や地域では広く使われている可能性があり、攻撃者の標的となりえます。Output Messengerはグローバルな知名度は低いものの、特定の組織内では重要なコミュニケーションツールとして機能しており、そこを狙った攻撃は情報収集において非常に効果的だったと考えられます。
また、セキュリティアップデートの適用の重要性も改めて浮き彫りになりました。Srimaxは2024年12月にパッチを提供していましたが、すべてのユーザーが更新していなかったため、一部では攻撃が継続していたのです。組織的なセキュリティ体制とアップデート管理の重要性を再認識させる事例と言えるでしょう。
地政学的な観点からは、トルコ(トルキイェ)とクルド人勢力との長年の緊張関係がサイバー空間にも拡大していることを示しています。2023年にはトルコ関連のハッカーグループがオランダのクルド系ウェブサイトを標的にしていたことも報告されており、この対立は物理的な国境を超えて継続していることがわかります。
興味深いタイミングとして、PKK(クルディスタン労働者党)が2025年5月13日にトルコとの数十年にわたる紛争の後、解散と武装解除を発表したという最新情報があります。この政治的展開と今回のサイバー攻撃の関連性は不明ですが、地域の緊張状態が変化する中でのサイバー諜報活動として注目に値します。
今後も国家支援型のサイバー攻撃は高度化・巧妙化していくことが予想されます。特に地政学的な対立がある地域では、サイバー空間での情報戦が激化する可能性が高いでしょう。企業や組織は、自社のシステムが地政学的な対立の中でどのような位置づけになるかを意識し、それに応じたセキュリティ対策を講じることが求められています。
【用語解説】
ゼロデイ脆弱性:
ソフトウェアの開発者が把握していない、または修正プログラムがリリースされていない脆弱性のこと。攻撃者が先に発見して悪用するため、防御側は「0日目」から対応を迫られる状況となる。
ディレクトリトラバーサル:
Webアプリケーションの脆弱性の一種で、攻撃者がサーバー上の本来アクセスできないファイルやディレクトリにアクセスできてしまう問題。例えば「../」などの特殊文字列を使って上位ディレクトリに移動し、重要なファイルを読み取る攻撃である。
バックドア:
正規の認証プロセスを回避してシステムにアクセスできる不正な経路。正規のファイルに偽装することで検出を避けることが多い。
DNSハイジャック:
正規のDNSサーバーの設定を書き換えることで、ユーザーが正規のWebサイトにアクセスしようとしても攻撃者の用意した偽サイトに誘導する攻撃手法。銀行のオンラインサービスに似せた偽サイトを作り、ユーザーのIDやパスワードを盗むといった手口に使われる。
MarbledDust(マーブルダスト):
トルコ政府関連と考えられているサイバースパイグループ。Sea Turtle、COSMIC WOLF、SILICON、Teal Kurma、UNC1326などの別名でも知られている。2017年頃から活動していると考えられている。
ペシュメルガ:
イラクのクルディスタン自治区の内部治安部隊。クルド語で「死に直面する者」を意味し、軍事的能力を持つ組織である。一般的に「クルド軍」と呼ばれることもあるが、厳密には国家の正規軍ではない。
PKK(クルディスタン労働者党): 1
978年に設立されたクルド人の独立を目指す組織。トルコ、EU、米国などからテロ組織に指定されている。2025年5月13日に解散と武装解除を発表した。
【参考リンク】
Output Messenger公式サイト(外部)
オフィス内の安全なコミュニケーションのためのメッセージングソフトウェア。Windows、Mac、Linux、Android、iOSに対応
Srimax Software Technology公式サイト(外部)
ウェブ開発、アプリケーション開発、モバイル開発などを手がけるインドのIT企業
【参考動画】
【編集部後記】
私たちが日々使うコミュニケーションツールが、国家レベルのサイバー攻撃の標的になっているという現実。皆さんの組織ではソフトウェアのアップデート管理はどのように行われていますか? 特に専門チームがない中小企業では、こうした脅威への対応が課題かもしれません。セキュリティアップデートの重要性を再認識する機会として、ぜひ社内の更新ポリシーを見直してみてはいかがでしょうか。最新のPKKの解散発表のように、地政学的状況は変化しても、サイバー空間の脅威は継続することを忘れないでください。皆さんのセキュリティ対策について、SNSでぜひ共有いただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
