CISA緊急KEV指定とTeams悪用型マルウェア「Snow」、中国APTの正当サービス悪用

今日のハイライト

本日のセキュリティ動向は、既知の脆弱性（KEV）の緊急対応と**正当なサービスの悪用（Living off Trusted Sites）**という2つの軸が際立っています。CISAが実際に悪用が確認された4件の脆弱性に対し、連邦政府機関に対して2026年5月までの厳格な対応期限を設定した一方で、攻撃者側はMicrosoft TeamsやSlack、Discordといった日常的に使用される正当なサービスをC2通信に悪用する手法を高度化させています。特に、ソーシャルエンジニアリングと複合的なマルウェアスイートを組み合わせた攻撃が増加しており、従来の境界防御型セキュリティでは検出が困難な「低侵食性（low and slow）」な攻撃が標準化しつつあります。

1. CISA、4件の悪用中脆弱性をKEVカタログに追加し5月対応期限を設定

概要

米国サイバーセキュリティ・インフラストラクチャー・セキュリティ庁（CISA）が、SimpleHelpリモートサポートソフトウェア、Samsung MagicINFO 9 Server、D-Link DIR-823Xシリーズ無線LANルーターに影響する4件の脆弱性を「Known Exploited Vulnerabilities（KEV）」カタログに追加しました。これらの脆弱性は実際に悪用されており（in the wild）、連邦政府機関に対しては2026年5月までの修復がBinding Operational Directive（BOD）22-01に基づき義務付けられています。

考察

実務対策としては、KEVカタログへの追加は即座にパッチ適用の優先度を「緊急（Critical）」に引き上げる明確なシグナルです。 特にSimpleHelpのようなリモートアクセスツールや、D-LinkのIoT/組み込み機器は、パッチ管理が行き届かない傾向があり、攻撃者にとって「低いハンギングフルーツ」となりやすいです。組織は直ちに資産管理システムでこれらの製品の使用有無を確認し、インターネット露出している場合は一時的に隔離するか、少なくともアクセス制御を厳格化すべきです。

技術的背景として、これらの製品はいずれも「管理機能のためのWebインターフェース」や「リモートサポート機能」を持つ点が共通しています。攻撃者はVPNやファイアウォールを迂回し、これらの管理インターフェースを介して内部ネットワークに侵攻する手法を好みます。CISAの期限設定は、政府機関のみならず民間企業に対しても「攻撃者が既に武器化を完了した脆弱性」への対応を促すものであり、脆弱性管理プログラムにおいてCVSSスコアではなく「実際の悪用状況」を優先判断基準とする動きを象徴しています。

参照元

• CISA Adds 4 Exploited Flaws to KEV, Sets May 2026 Federal Deadline

2. UNC6692、Microsoft Teamsを悪用した「Snow」マルウェアで組織を深度侵攻

概要

GoogleのMandiantが、UNC6692と追跡される脅威グループの新たな攻撃キャンペーンを報告しました。同グループは「email bombing（メール爆撃）」で被害者の注意を逸らせた後、Microsoft TeamsでITヘルプデスクを装い接触。被害者に「スパムブロックパッチ」をインストールさせることで、カスタムマルウェアスイート「Snow」を展開します。Snowは、悪意あるChrome拡張「SnowBelt」、WebSocketトンネラー「SnowGlaze」、Python製バックドア「SnowBasin」から構成され、LSASSメモリダンプやPass-the-Hashによる横展開、最終的にはActive Directoryデータベースの窃取を行います。

考察

本攻撃は「ビジネスコミュニケーションツールの信頼性」を悪用した典型的なBEC（Business Email Compromise）進化型です。 実務対策として、まずTeamsの外部アクセス設定を見直し、組織外からのダイレクトメッセージを制限または監視する必要があります。次に、Quick Assistなどのリモートアクセスツールの使用に際しては、多要素認証と承認ワークフローを必須とし、予期せぬリモートアクセスセッションを即座に検出できるSIEMルールを整備すべきです。

技術的洞察として、Snowスイートの構成は「ブラウザ拡張による永続化」「WebSocketによるC2通信隠蔽」「Pythonによる高速開発」の組み合わせが特徴的です。特にSnowBeltがheadless Edgeインスタンスで実行される点は、従来のブラウザ拡張検知手法を回避する高度な技巧です。攻撃者の動機は明確に「長期間のネットワーク居住」と「ドメイン全体の掌握」にあり、ランサムウェアの前段階としての情報収集である可能性が高いです。LSASS保護（Credential Guardの有効化）や、ドメインコントローラーへの特権アクセス制御（Tiersモデルの導入）が有効な対策となります。

参照元

• Threat actor uses Microsoft Teams to deploy new “Snow” malware

3. 中国関連APT「GopherWhisper」、正当サービスを悪用した政府機関攻撃

概要

ESETが、中国関連の新規APTグループ「GopherWhisper」を特定しました。同グループは2023年11月以降、モンゴルの政府機関を標的に、Go言語製の複数バックドア（LaxGopher、RatGopher、CompactGopher、BoxOfFriends）を使用して攻撃を行っています。特筆すべきは、C2通信にSlackやDiscord、データ流出にfile.io、Microsoft Graph API（Outlook下書きメッセージ）を悪用する「Living off Trusted Sites」手法を多用している点です。

考察

「正当なサービスの悪用」は、従来のドメイン信頼型セキュリティ（ドメイン分類、IPレピュテーション）を完全に無力化する攻撃手法です。 実務対策としては、まずプロキシやファイアウォールでSlack、Discord、file.io、Microsoft Graph APIへの通信を「必要な業務用途のみに制限」し、PowerShellやGo言語の実行可能ファイルの異常な生成をEDRで検出する必要があります。特にfile.ioのような一時ファイル共有サービスは、DLP（データ漏洩防止）ソリューションでのアクセス制御が重要です。

攻撃者の動機は国家レベルの情報収集であり、Go言語の選択は「クロスプラットフォーム対応」と「バイナリの静的リンクによる検出回避」を意図したものと考えられます。BoxOfFriendsがOutlookの下書き機能を使用する点は、メールセキュリティゲートウェイを迂回する巧妙な手法であり、クラウドベースのセキュリティ監視（Microsoft 365 Defenderなど）での異常APIアクセス検出が不可欠です。GopherWhisperの活動は、中国のAPTが「目立たない永続性」を追求し、従来の独自C2インフラへの依存を減らしているトレンドを示しています。

参照元

• China-Linked APT GopherWhisper Abuses Legitimate Services in Government Attacks

4. Stuxnetの先駆者か：2010年以前の「fast16」マルウェアが発見される

概要

研究者たちが、Stuxnet（2010年発見）より数年早く作成されたとされるLuaベースのマルウェア「fast16」を発見しました。このマルウェアはイランの核プログラムを標的とし、ウラン濃縮遠心分離機を破壊する目的で設計されたサイバー破壊活動（cyber sabotage）の一環とされています。Stuxnetと同様の工業制御システム（ICS）標的型であり、国家主導の攻撃の歴史的な「前史」を示唆しています。

考察

本発見は、ICS/OT（運用技術）セキュリティの文脈で極めて重要な歴史的価値を持ちます。 実務的な即時的脅威ではありませんが、国家レベルの攻撃者が「重要インフラに対する破壊的攻撃」をいつから準備していたかを示す証拠であり、現在も継続しているICS標的型攻撃の長期的な脅威を再認識させます。

技術的には、Luaスクリプトの使用は当時としては高度な柔軟性を持つ攻撃基盤を示唆し、現在のICSマルウェア（TRITON、INDUSTROYERなど）の先駆者的存在と言えます。現在の防御側にとっての教訓は、ICSネットワークの「エアギャップ」だけでは不十分であり、供給連全体（エンジニアリングソフトウェアの改ざんなど）にわたるセキュリティ監視が必要である点です。特に、古い遺産システムに対する「スクラップ＆ビルド」ではなく「セグメンテーションと異常検知」によるリスク軽減が現実的な対策となります。

参照元

• Researchers Uncover Pre-Stuxnet ‘fast16’ Malware Targeting Engineering Software

5. Microsoft、Windows Insider Programを刷新し信頼性向上を目指す

概要

MicrosoftがWindows 11の信頼性とパフォーマンス向上を目指し、Windows Insider Programを刷新しました。従来のDev・Canaryチャンネルを「Experimental」チャンネルに統合し、Betaチャンネルでは段階的ロールアウト（CFR）を廃止して全機能を即座に提供する方針です。これにより、テスターからのフィードバック精度向上と、製品版リリース前の品質向上を図ります。

考察

直接的な脆弱性報告ではありませんが、ソフトウェアの信頼性向上は間接的にセキュリティ posture を強化します。 不安定なプレビュー版が原因でセキュリティ機能が無効化されたり、互換性のために古いプロトコルが有効化されたりするリスクを減らす効果があります。

ただし、セキュリティ専門家にとっては「Experimental」チャンネルでの新機能（特にセキュリティ関連）の早期評価が可能になる点が有益です。例えば、新しい認証メカニズムや暗号化機能が本番環境に導入される前に、実務的な運用影響を評価できるようになります。企業のセキュリティチームは、本番環境の安定性を維持しつつ、Insider Programを通じて今後のセキュリティ機能の変更に備えることを検討すべきです。

参照元

• Microsoft rolls out revamped Windows Insider Program

まとめ

本日のニュースは、**「攻撃者が正当なインフラを悪用し、人間の信頼を操作する」**という現代の脅威環境を象徴しています。CISAのKEV追加は「既知の脆弱性の即座の修復」という基本に立ち返る重要性を示し、一方でSnowマルウェアやGopherWhisperの活動は「パッチ適用だけでは防げない」高度な標的型攻撃の現実を示しています。

今後注視すべきポイントは3つです：

1. 正当サービス（Slack/Discord/Teams）を用いたC2通信の検知手法の確立 - 従来のネットワーク監視では見逃されるため、エンドポイントでのプロセス挙動監視と、クラウドアプリセキュリティ（CASB）の強化が必要です。
2. KEVカタログの動向 - CISAが期限を設定した4件の脆弱性は、他の多くの組織でも未対応の可能性が高く、今後数週間での大規模な悪用キャンペーンの発生に警戒が必要です。
3. ICS/OT環境への長期的な投資 - fast16の発見は、重要インフラに対する国家レベルの攻撃意図が長期的かつ継続的であることを示唆し、ITとOTのセグメンテーションと、エンジニアリングワークステーションの厳格な管理が不可欠です。

防御側は「ツールの悪用」ではなく「人とプロセスの異常」に焦点を当てた検知能力の向上が、これらの脅威に対抗する鍵となります。