Dindoor Backdoor

脅威インテリジェンス調査により、イラン政府と連携したサイバー攻撃の証拠が明らかになりました。この攻撃は北米の複数の組織のネットワークに侵入することに成功しました。影響を受けた組織には、銀行、空港、非営利団体、そして防衛・航空宇宙分野向けソフトウェア企業のイスラエル支社などが含まれています。

この攻撃は、イラン情報治安省（MOIS）と関係のある脅威グループ「MuddyWater」（別名Seedworm）によるものとされています。捜査官は、この攻撃は2026年2月初旬に開始されたと推定しています。この攻撃に関連するネットワーク活動は、米国とイスラエルによるイランへの軍事攻撃の直後に表面化したことから、このサイバー活動の背後には地政学的な要因が潜んでいる可能性が示唆されています。

標的となったソフトウェアプロバイダーのイスラエル支社は、特に注目されているようです。同社は防衛・航空宇宙を含む複数の業界にソリューションを提供しており、情報収集や潜在的な妨害活動の戦略的に重要な標的となっています。

Dindoor: Deno を悪用する新たに特定されたバックドア

侵入を調査するセキュリティアナリストは、これまで文書化されていなかった「Dindoor」と呼ばれるバックドアの展開を特定しました。このマルウェアは実行環境の一部としてDeno JavaScriptランタイムを使用しており、これは比較的珍しい手法であり、従来のセキュリティ監視システムによる検出を回避するのに役立つ可能性があります。

ソフトウェアベンダー、米国の金融機関、カナダの非営利団体を巻き込んだ攻撃が、このバックドアをインストールするための侵入口として機能したようです。

データ窃取の試みの証拠も確認されました。捜査官は、Rcloneユーティリティを使用して、侵害を受けたソフトウェア会社の環境からWasabiでホストされているクラウドストレージバケットに情報を転送したことを確認しました。分析時点では、データ窃取の試みが最終的に成功したかどうかは不明です。

追加の侵害ネットワークにFakesetバックドアが出現

Pythonで記述された「Fakeset」と呼ばれる別のマルウェアコンポーネントが、米国の空港と別の非営利団体のネットワーク内で検出されました。このバックドアは、米国を拠点とするクラウドストレージおよびバックアッププロバイダーであるBackblazeに関連するインフラストラクチャから取得されました。

悪意のあるペイロードは、以前から MuddyWater の活動と関連付けられてきた他の 2 つのマルウェア ファミリ (Stagecomp と Darkcomp) にリンクされていた証明書を使用してデジタル署名されていました。

脅威研究者は、MuddyWater エコシステムに関連する次のシグネチャを持つマルウェア サンプルを特定しました。

• トロイの木馬:Python/MuddyWater.DB!MTB
• バックドア.Python.MuddyWater.a

Stagecomp と Darkcomp 自体は、今回の調査で調査した侵害を受けたネットワーク上では発見されませんでしたが、同じデジタル証明書が再利用されていることから、同じ脅威アクターが関与していることが強く示唆され、Seedworm への帰属が強化されました。

イランのサイバー能力とソーシャルエンジニアリング戦術の拡大

イランのサイバー脅威アクターは近年、活動能力を大幅に向上させています。マルウェアの開発とツールはより高度化し、標的ネットワーク内でのステルス性の高い持続的な活動と、より効果的な横展開を可能にしています。

同様に注目すべきは、人間を標的とした攻撃戦略の拡大です。イランの攻撃者は、標的を絞ったスピアフィッシング攻撃や、標的の個人との信頼関係構築を目的とした長期的な「ハニートラップ」作戦など、ソーシャルエンジニアリングの手法をますます高度化させています。これらの戦術は、アカウントへのアクセスや機密情報の窃取に頻繁に利用されています。

脆弱なカメラによる監視

並行して行われた調査により、イランに関連する他の脅威グループがインターネットに接続された監視デバイスを積極的に調査していることが明らかになりました。そのようなグループの一つであるAgrius（別名Agonizing Serpens、Marshtreader、Pink Sandstorm）は、脆弱なビデオ監視インフラをスキャンしていることが確認されています。

研究者らは、Hikvisionのカメラやビデオインターホンシステムを標的とした既知の脆弱性を悪用する攻撃の試みを記録しました。これらの活動は、進行中の中東紛争、特にイスラエルといくつかの湾岸諸国において激化しています。

この攻撃は、Dahua 社と Hikvision 社の監視機器に影響を及ぼす以下の脆弱性を悪用することに重点を置いています。

• CVE-2017-7921
• CVE-2023-6895
• CVE-2021-36260
• CVE-2025-34067
• CVE-2021-33044

セキュリティアナリストは、このような侵害が、ミサイル作戦に関連する作戦監視や戦闘被害評価（BDA）を含む軍事情報収集を支援する可能性があると見ている。場合によっては、ミサイル発射前にカメラ侵入が行われ、標的の特定や結果の監視を支援することもある。

運動行動の前兆としてのサイバー活動

監視インフラへの協調的な標的攻撃は、イランのサイバードクトリンがデジタル偵察をより広範な軍事計画に統合しているという長年の評価と一致する。侵入されたカメラは、リアルタイムの視覚情報と状況認識を提供することができる。

したがって、既知のイランのサイバー資産に結び付けられたカメラインフラに対するスキャン活動と悪用の試みを監視することは、潜在的な後続の物理的作戦に対する早期警告信号として機能する可能性がある。

サイバー報復リスクの高まり

米国、イスラエル、イラン間の紛争の激化により、サイバー報復のリスクが高まっています。脅威情勢の深刻化を受け、カナダサイバーセキュリティセンター（CCCS）は、イランが重要インフラに対してサイバー能力を活用し、戦略的利益の拡大を目的とした影響力行使や情報操作を行う可能性が高いと警告する勧告を発表しました。

こうした展開は、スパイ活動、妨害活動、情報収集が従来の軍事行動にますます付随するようになる地政学的紛争において、サイバー空間が並行する戦場としての役割を拡大していることを浮き彫りにしている。