Windows標準機能を逆手に取るサイバー攻撃が横行 犯罪者が狙う死角とは

Windowsに標準で備わっているツールのゼロデイ脆弱性を突いた攻撃が広がっている。Microsoftはパッチを提供しているものの、攻撃者は巧妙で危険だ。

[Elizabeth Montalbano，Cybersecurity Dive]

　OSやアプリケーションの脆弱（ぜいじゃく）性を狙った攻撃には注意しなければならない。パッチやセキュリティアップデートが提供されていないゼロデイ脆弱性はさらに危険だ。

　ゼロデイ脆弱性がWindowsやWindowsの標準ツールで見つかった場合、Windowsを利用している全ての企業が攻撃対象になってしまう。

Windows標準ツールに潜むゼロデイの脅威

　狙ったシステム上で悪質なコードを実行するサイバー攻撃が続いており、パッチが適用されていないシステムは深刻な危険にさらされている。

　今回、標的となったWindowsの標準ツールとは何で、狙われたらどんな危険性があるのか。

　ロシアの攻撃者が悪用したのは、Windowsに付属する管理コンソール「Microsoft Management Console」（MMC）のゼロデイ脆弱性だ。日本語表示のWindowsでは「Windows 管理コンソール」または「管理コンソール」と表示される。

　首謀者は「EncryptHub」というグループで、悪用したのは「MSC Evil Twin」という名称でも知られている脆弱性「CVE-2025-26633」だ（注1）。攻撃者は.mscファイルやMMCコンソールの多言語ユーザーインタフェースパス（MUIPath）を不正に操作する。攻撃者はそこから悪質なコードをダウンロードして実行し、感染したシステムに対する持続的なアクセスを維持しつつ、機密データを盗み出す。

　Microsoftは（注2）、2025年3月11日に配布が始まったセキュリティ更新プログラム（月例）で「MSC Evil Twin」の脆弱性に対するパッチを提供した。Trend Microによると、EncryptHubは正規の.mscファイルを利用して悪質な.mscファイルを実行することで脆弱性を悪用しており、この時点で脆弱性はまだゼロデイ（未発見）の状態だった。この脆弱性を活用すると、攻撃者が被害者に悪質なリンクをクリックさせるか、悪質なファイルを開かせることで、MMC内のセキュリティ機能を回避できる。脆弱性として利用されたのは、MMCコンソールがユーザー入力を適切に検証したり、無害化したりしていないことだ。

　Trend Microによると、EncryptHubの攻撃では、トロイの木馬型のローダーが、同じ名前の2つの.mscファイルをシステム上に作成する。2025年3月24日の週に公開されたブログの中で（注3）、同社のアリアクバル・ザフラヴィ氏（チームリーダー兼主任研究員）は次のように記した。「一つはクリーンで、疑わしい要素がなく正規のファイルに見える。もう一つは悪質なバージョンで、同じ場所に配置される。クリーンなファイルを実行すると、mmc.exeはクリーンなファイルではなく悪質なファイルを読み込み、実行してしまう」

　この攻撃では、mmc.exeファイルに備わっている多言語環境において、ユーザーインタフェースの言語を動的に変更するためのMUIPath機能も悪用されていた。デフォルトのシステム言語「英語（米国）」では、通常、MUIPathに.muiファイルを含むように設定されている。.muiファイルは、アプリケーション向けにローカライズされたテキストやダイアログ、ユーザーインタフェース要素など、言語別のリソースを保存するために設計されたものだ。

　「攻撃者はmmc.exeがMUIPathを利用する仕組みを悪用することで、「英語（米国）」のMUIPathに悪質な.mscファイルを仕込む。すると、mmc.exeは元のファイルではなく悪質なファイルを読み込み、被害者が気付かないうちに実行してしまう」（ザフラヴィ氏）

　EncryptHubがこの攻撃で使用した不正プログラムには、独自に作成されたものと広く出回っている一般的なものの両方が含まれている。「EncryptHub Stealer」や「DarkWisp」バックドア、「SilentPrism」バックドア、「Rhadamanthys Stealer」などが使われていた。

サイバー攻撃のリスクにさらされるのは誰か

　Trend Microによると、Microsoftの管理ツールを常用している企業は、この攻撃に特に脆弱で、データ侵害や大規模な経済的損失につながる可能性がある。なお、EncryptHubが標的としている組織の詳細について質問したところ、同社は回答しなかった。

　EncryptHubは単独の攻撃者だとみられており、「Water Gamayun」や「Larva-208」という別名でも活動している。サイバーインテリジェンス企業PRODAFTの研究者によると、この攻撃者は2024年6月下旬に初めて活動を開始し（注4）、その後、極めて巧妙でターゲットを絞ったスピアフィッシング攻撃を実行して、600以上の組織にランサムウェアを感染させる猛攻を仕掛けたという。

　あるセキュリティ専門家は、攻撃者が今回の脆弱性を事前に把握していたことは攻撃を仕掛ける上で大きなアドバンテージとなり、一方で防御側にとっては不利に働いたと指摘する。

　国家安全保障局（NSA）でかつてコンピュータネットワークオペレーターを務めており、現在はセキュリティ起業家でもあるエヴァン・ドーンブッシュ氏は「防御側は攻撃者に先を越される前に、こうした脆弱性の存在に気付けるように脆弱性の研究者と連携しなければならない。防御側はもぐらたたきのように一時しのぎの対応を続けるわけにはいかない。攻撃者は組織自身が脆弱性に気付いていない箇所を正確に突いて攻撃してくる」

　Microsoftの広報担当者はCybersecurity Diveに送った声明の中で、次のように述べた。

　「今回の調査と、調整された脆弱性開示の下で責任を持って報告してくれたTrend MicroのZero Day Initiativeに深く感謝している。アップデートを適用した顧客はこの脆弱性から保護されている」

出典：Russian threat actor weaponized Microsoft Management Console flaw（Cybersecurity Dive）
注1：CVE-2025-26633 Detail（NIST）
注2：Tenable CEO calls out Microsoft on lack of transparency on vulnerabilities（Cybersecurity Dive）
注3：CVE-2025-26633: How Water Gamayun Weaponizes MUIPath using MSC EvilTwin（Trend Micro）
注4：LARVA-208（PRODAFT）