中国系APTグループWebwormがDiscordとMicrosoft Graph APIをC2通信に悪用——ヨーロッパ政府機関への標的型攻撃をESETが報告

セキュリティベンダーESETは、中国と関連するサイバースパイ集団「Webworm」が、DiscordおよびMicrosoft Graph APIを指令・制御（C2）通信の隠れ蓑として悪用し、ヨーロッパの政府機関への侵入・長期潜伏を継続していると報告した。正規の信頼済みクラウドサービスをC2チャネルとして利用することで、従来のネットワーク監視をすり抜ける高度な手口が明らかになった。

Webwormとはどんな脅威アクターか

Webwormは、中国政府と関連があるとされるAPT（Advanced Persistent Threat）グループだ。主に政府機関・防衛・外交関連組織を標的とし、長期的なサイバースパイ活動を目的とする。今回の攻撃キャンペーンでは、ヨーロッパの政府組織が主要な標的となっており、ESETの分析によると、侵入後の永続的アクセス確保と情報窃取が最終目標とみられている。

Discord・Microsoft Graph APIをC2に使う手口

今回の攻撃で特に注目すべきは、C2通信の隠ぺい手法だ。

Discordの悪用では、正規のDiscordチャンネルやDMをC2サーバーとして利用する。攻撃者はDiscordのWebhookやBot APIを通じて感染端末へ命令を送り、窃取した情報を受け取る。企業ネットワーク内でDiscordへの通信が許可されている場合、この通信は「正規のDiscordトラフィック」と区別がつかない。

Microsoft Graph APIの悪用も同様の発想に基づく。OneDriveやOutlookのメールボックスをデータの中継・保管場所として使い、Graph APIを通じて読み書きすることでC2通信を実現する。Microsoft 365のエンドポイントへの通信は多くの企業で許可リストに入っているため、セキュリティツールの目をかいくぐりやすい。

こうした手法は「Living-off-the-Land（環境寄生）」攻撃の進化形であり、攻撃インフラを自前で用意するのではなく、被害組織自身が日常的に使うサービスに乗り込む点が巧妙だ。

ステルス性を高めるプロキシネットワークの活用

Webwormはさらに、OperationalRelayBox（ORB）と呼ばれるプロキシネットワークも活用していると報告されている。これは侵害済みのルーターやIoT機器、VPSなどを踏み台として連鎖させる手法で、攻撃元IPの追跡を困難にする。ネットワーク層・認証層・認可層のいずれの観点から見ても、発信元を特定することが極めて難しい構造になっている。

実務への影響——日本のエンジニア・IT管理者が今日から取るべき対策

この攻撃手法は、欧州政府機関だけの問題ではない。日本の官公庁・大手企業・インフラ企業も同様のリスクにさらされている。以下の点を即座に確認すべきだ。

1. Microsoft Graph APIへのアクセス監視 Entra ID（旧Azure AD）の監査ログで、ServicePrincipalやアプリ登録経由のGraph APIアクセスを定期的にレビューする。見知らぬアプリ登録が存在しないか、特にMailboxやOneDriveへのアクセス権限を持つものを優先確認すること。

2. Discordへの通信制御 業務上必要のない端末・サーバーからのDiscord通信はファイアウォールでブロックする。許可している場合でも、異常な通信頻度や時間帯のログを監視する。

3. 条件付きアクセスポリシーの見直し 「すべてのクラウドアプリを一律に信頼する」構成は見直す必要がある。マネージドデバイス・準拠デバイス以外からのアクセスを制限し、特権ロールに対してはPhishing-resistant MFA（FIDO2/Windows Hello for Business）を必須化する。

4. 非人間ID（NHI）の棚卸し サービスプリンシパル・マネージドID・APIキー等の非人間IDに過剰な権限が付与されていないか定期的に監査する。使われていない認証情報は即座に無効化すること。

5. ネットワーク内部の横断移動（ラテラルムーブメント）対策 侵入を前提とした「内部脅威」への対応として、ゼロトラストアーキテクチャの徹底と、マイクロセグメンテーションによる被害の局所化が有効だ。

筆者の見解

この攻撃キャンペーンで最も重要な示唆は、「信頼済みサービスへの通信が安全とは限らない」という当然の事実を、多くの組織がまだ運用上の現実として消化できていない点だ。

DiscordやMicrosoft Graph APIへのアクセスを「ホワイトリスト登録済みだから問題ない」と思考停止するのは、昔のVPNで外部トラフィックをすべて塞いでいれば安全と考えていた時代の発想と本質的に変わらない。ゼロトラストの本来の意味は、「ネットワークの内外を問わず、すべてのアクセスを都度検証する」ことであり、通信先が有名サービスであることはそれ自体では何の保証にもならない。

特に懸念するのは、Microsoft 365を全社導入しているにもかかわらず、Graph APIやEntra IDの監査ログをほとんど見ていない組織の多さだ。ツールは揃っているのに使われていない。Microsoft Sentinelや Microsoft Defender for Cloud Appsを活用すれば、今回のような異常なGraph APIアクセスパターンはかなりの精度で検出できる。導入済みの機能を使い切る——それだけでセキュリティ態勢は大きく変わる。

日本の大企業では、レガシーなセキュリティモデルとゼロトラストの取り組みが中途半端に混在し、かえって死角を生んでいるケースをよく見かける。Webwormのような高度な脅威アクターは、まさにそうした「ハイブリッドな曖昧さ」を狙ってくる。今こそ、Microsoft 365に含まれているセキュリティ機能を正面から使い倒す好機だ。

出典: この記事は Webworm APT Uses Discord And Microsoft Graph To Target European Governments の内容をもとに、筆者の見解を加えて独自に執筆したものです。