MarsSnakeバックドア：世界的な諜報活動におけるステルス性の高いサイバーツール

新たなデジタル脅威の出現

世界的なサイバースパイ活動に関して言えば、新たに確認された「MarsSnake」と呼ばれるバックドアがセキュリティアナリストの注目を集めています。MarsSnakeは、 「UnsolicitedBooker」と呼ばれる謎の脅威グループと関連付けられており、このグループは中国とつながりがあるとみられています。このバックドアは、サウジアラビアに拠点を置く国際組織を標的とした一連のサイバー攻撃の中で発見されました。

UnsolicitedBookerは比較的目立たないながらも、初期のアクセス獲得に高度に標的を絞ったフィッシングキャンペーンを展開していると報じられています。これらのメールは正規のメールに見せかけるように作成されており、多くの場合、航空券の予約情報を餌として利用しています。これらの攻撃は2023年、2024年、そして2025年初頭にも発生しており、現在も継続していることから、特定の地政学的標的への継続的な関心が示唆されます。

攻撃の解剖

MarsSnakeキャンペーンで使用された侵入方法は、綿密に計画された作戦を反映しています。攻撃者は、サウディア航空からの通信を装ったメールを送信し、フライトの旅程表と思しき内容を含むMicrosoft Wordファイルを添付していました。一見無害に見えるこの文書は、マクロが仕込まれており、有効化されると、 smssdrvhost.exeという実行ファイルが被害者のコンピュータに展開されます。

このファイルはローダーとして機能し、最終的にMarsSnakeバックドアをインストールします。MarsSnakeがアクティブになると、外部のコマンドアンドコントロール（C&C）サーバーとの通信を確立し、攻撃者が侵入したシステムと通信できるようになります。MarsSnakeが提供するアクセスレベルには、コマンドの実行、ファイルの操作、そして場合によってはさらなるマルウェアのインストールなどが含まれており、これらはすべて攻撃者のインフラストラクチャを介してリモート制御されます。

MarsSnake とは何ですか? なぜ重要なのですか?

MarsSnakeは、バックドアとしてだけでなく、サイバースパイ活動において非常に有能で柔軟性の高いツールとして際立っています。幅広い操作を実行できるため、あらゆるAPT（Advanced Persistent Threat）グループにとって強力な武器となります。MarsSnakeは現在UnsolicitedBookerでのみ利用可能であり、その開発と展開が専門的であることを示しています。

この限定性は、その使用の背後にある戦略的目的についても疑問を投げかけています。サイバーセキュリティの専門家は、MarsSnakeは大規模攻撃のためのツールではなく、特定の高価値機関への侵入を目的とした精密な標的攻撃のために設計されたものだと考えています。サウジアラビアの単一組織への繰り返しの攻撃は、短期的な金銭的利益や混乱ではなく、長期的な情報収集が目的であることを示唆しています。

他の脅威アクターとのつながり

UnsolicitedBookerはAPTエコシステムの中では比較的新しい名前ですが、その戦術とツールセットは他の中国系攻撃グループと類似しています。Chinoxy、 DeedRAT 、Poison Ivy、BeRATといった馴染みのあるバックドアの使用は、Space PiratesやAPT15といった脅威クラスターによる攻撃で観察された行動と一致しています。

さらに、APT15傘下の別の組織であるDigitalRecyclersなどのグループからも同様のキャンペーンが確認されています。DigitalRecyclersは、 HydroRShellと呼ばれるバックドアを含む独自のマルウェアスイートを用いて、欧州の政府機関を標的としています。MarsSnakeと同様に、HydroRShellはリモートコマンド実行用に設計されており、GoogleのProtocol Buffers（Protobuf）を含む高度な通信手段を用いて制御サーバーと通信します。

全体像：その意味するものは何か？

MarsSnakeとその関連キャンペーンの発見は、バックドアがますます高度化し、標的に合わせてカスタマイズされているという、サイバー脅威環境の進化を浮き彫りにしています。国際機関、特に政府機関、外交機関、重要インフラ機関にとって、MarsSnakeのようなツールの存在は、堅牢なサイバーセキュリティ対策の重要性を改めて浮き彫りにしています。

これらの攻撃は、デジタル領域で展開されているより広範な地政学的緊張を反映しています。国家が戦略的優位性を競う中で、サイバースパイ活動は好まれる戦術となっています。MarsSnakeのようなツールは、国家と連携したグループが機密情報を収集するために長期的な監視活動を行うという、より広範なトレンドの一環をなしています。

前進

MarsSnakeは一般ユーザーに影響を与えないかもしれませんが、その存在はサイバーセキュリティにおける国際協力の必要性の高まりを示唆しています。組織はスピアフィッシング攻撃に警戒し、巧妙で長期的な侵入を検知できる脅威検出ツールに投資する必要があります。

研究者や防御担当者にとって、MarsSnakeのようなマルウェアファミリーを追跡することは、脅威アクターの能力と意図に関する貴重な洞察をもたらします。こうした高度な攻撃に先手を打つには、脅威インテリジェンスの継続的な分析と共有が不可欠です。

MarsSnake は、より大きなサイバー パズルの 1 つのピースにすぎないかもしれませんが、その出現は、デジタル支配をめぐる戦いが今もなお活発に行われ、常に進化していることをはっきりと示しています。