概要
Symantec(Carbon Black脅威ハンターチーム)は2026年6月、大手グローバル証券取引所の上級幹部のOutlookメールボックスが少なくとも5か月間にわたって不正アクセスされていたことを報告した。攻撃者は2025年10月10日に最初の悪意ある活動を開始し、2025年11月12日からは本格的な窃取作戦に移行。2026年2月17日まで2~4週間ごとのサイクルで計9回にわたりメールデータを外部へ持ち出し続けた。2026年3月19日には新しいバックドアが設置されたが、実行はされていない。
証券取引所幹部のメールボックスには、上場廃止計画や取引条件、市場変動に関する非公開情報が含まれる可能性が高く、インサイダー情報の収集を目的とした高度な諜報活動とみられる。
攻撃手法とツール
攻撃者はメールデータの窃取に「Aspose」ライブラリをベースとした独自ツールを使用した。このツールはOutlookのメールボックスをPST形式に変換し、日付範囲とパスワードフラグを指定して実行する仕組みになっており、最初の抽出時は2025年8月以降のすべてのメールを取得、以降は差分のみを定期的に持ち出す設計だった。
データの外部流出にはDropbox APIトークンを活用し、通常のクラウドストレージアクセスに偽装することで検出を回避した。さらにMicrosoftのIPアドレス範囲を利用してDNSベースの検出を逃れた。また、マルウェアはAdobeの更新プログラムやOneDriveのプロセスを装ったバイナリとして配置されていた。
侵害の深度を高めるために使用されたツールは多岐にわたる。トラフィックのトンネリング(外部への持ち出し経路の確立)にはFRPC、Windows認証情報の抽出にはSecretsdump、ブラウザやアプリケーションに保存されたパスワードの回復にはSharpDecryptPwdが用いられた。さらにUAC(ユーザーアカウント制御)バイパスツールも使用されており、特権昇格が試みられたことが示されている。
セキュリティへの示唆
Symantecの研究者が強調するのは、「このインシデントにはCVEは関係しない」という点だ。新たに開示された脆弱性の悪用ではなく、標的の人物のメールボックスへの執拗な侵入であり、攻撃成功の鍵は技術的な脆弱性よりも、長期間にわたる検知回避と段階的なデータ持ち出しにあった。
今回のケースは、組織におけるメールセキュリティ監視の重要性を改めて浮き彫りにしている。クラウドストレージサービスへの異常なアクセスパターンや、大容量のPSTファイル生成といった振る舞いに対して、継続的な監視と迅速な対応体制が主要な防御手段となる。特に市場に影響を与えうる非公開情報を扱う金融機関にとって、こうした長期潜伏型の諜報活動への対策は急務といえる。