リード
ESETのリサーチャーが、中国系APTグループ「Earth Lusca」(別名:FishMonger、Aquatic Panda)によるWindows向けバックドア「SprySOCKS」の新変種を発見した。2023〜2024年にかけて、台湾・タイ・パキスタン・ホンジュラスの政府機関を対象とした標的型攻撃に使われていたことが確認されている。
Earth Luscaとはどんる脅威グループか
Earth Luscaは中国との関与が高い信頼度で疑われる国家支援型の脅威アクターで、外交・テクノロジー・通信分野の政府機関を長年にわたり標的にしてきた。これまでSprySOCKSのLinux版が同グループによって展開されてきたことはセキュリティコミュニティに広く知られていたが、今回のESETの調査によって、Windowsエコシステムにも攻撃の矛先を広げていたことが明らかになった。
同グループは「Red Dev 10」「TAG-22」などの別名でも追跡されており、複数のセキュリティベンダーが観測を続けている。
2つのWindows変種:WIN_DRV と WIN_PLUS
今回発見されたWindows版SprySOCKSには、用途が異なる2つの変種が存在する。
WIN_DRV:カーネルレベルのステルス機能搭載
より高度なのがWIN_DRVだ。「RawWNPF」という名のカーネルドライバーをメモリに直接ロードする機能を持ち、これにより次のような「見えなくなる」能力を獲得する:
- プロセスの隠蔽:Windows API操作によりタスクマネージャー等から姿を消す
- ネットワーク接続の隠蔽:不審な通信を外部から見えなくする
- ファイルの隠蔽:ディレクトリ一覧に表示されない
- レジストリエントリの隠蔽:永続化用のキーを隠す
さらに巧妙なのが通信手法だ。受信TCPトラフィックを検査し、特定の細工されたパケットだけをSprySOCKSバックドアにリダイレクトする。これによってバックドアが実際にリッスンしているポートをネットワークトラフィック上に露出させることなくC2通信が可能になる。
ドライバーのロードには「DriverLoader(fsdiskbit.sys)」が使われており、GitHubの「PastDSE」プロジェクトから流出した証明書で署名されている。いわゆるBring Your Own Vulnerable Driver(BYOVD)の応用だ。
WIN_PLUS:シンプルだが機能的なバックドア
WIN_PLUSはWIN_DRVよりシンプルな構造ながら、実用的な機能を備えたバックドアだ。Windows Print Processor(VSPMsg)として自身を登録することで持続性を確保する。
両変種に共通する主な機能は以下のとおり:
- TCP・UDP・WebSocketでの通信
- 30種類以上のC2コマンドのサポート
- システム情報の収集、プロセス・サービスの管理
- ファイルの列挙・作成・削除・アップロード・ダウンロード・実行
- SOCKSプロキシ機能(クライアント・サーバー双方として動作可能)
- キーストローク・クリップボード内容・アクティブウィンドウタイトルのログ記録
UEFIブートキットの可能性も
ESETのテレメトリデータには、CVE-2023-24932(Secure Bootの脆弱性)を悪用するUEFIブートキットコンポーネントの痕跡も確認されたという。この脆弱性はかつて「BlackLotus」UEFIマルウェアがゼロデイとして利用したことで知られている。
現時点でBlackLotusとの直接的な関連を示す強固な証拠はないとESETは慎重に述べているが、Secure Bootレイヤーまで攻撃が及ぶ可能性は見逃せない。
偶然の一致かもしれないが、このレポートが公開されたのは、2026年6月24日に旧来のSecure Boot証明書が失効するタイミングと重なっている。
実務への影響:日本のエンジニア・IT管理者へ
今回の報告が示す脅威は、日本の政府機関・重要インフラ事業者にとっても無縁ではない。以下の対策を実務として検討してほしい。
1. カーネルドライバーの監視強化 脆弱な証明書を使ったドライバーのロードを検出するため、Microsoft Defender for Endpoint(MDE)の「Attack Surface Reduction(ASR)」ルールを有効化し、WDAC(Windows Defender Application Control)でドライバー署名ポリシーを厳格化する。
2. Windows Print Spoolerの権限制限 WIN_PLUSはPrint Processorとして偽装して永続化する。印刷機能が不要なサーバー・端末ではSpoolerサービスを無効化する(これはPrintNightmare以来の定番対策でもある)。
3. スケジュールタスクとIFEOの定期監査 WIN_DRVはスケジュールタスクとImage File Execution Options(IFEO)を利用して永続化する。定期的にこれらのエントリを棚卸しする自動化スクリプトを仕込んでおくと早期検出につながる。
4. ESET提供のIoCを活用 ESETがレポートに詳細な侵害指標(IoC)を公開している。SIEMやEDRに取り込んで即座に検索をかけることを推奨する。
- Secure Bootの証明書更新(6月24日期限) 先述の旧Secure Boot証明書の失効対応は、このマルウェアへの対策という観点でも意義がある。まだ対応していないマシンは今すぐ確認を。
筆者の見解
セキュリティは得意分野でも好きなジャンルでもないと正直に言ってしまうが、カーネルドライバーレイヤーを使ったこの手の攻撃には技術的な意味での「すごみ」を感じる。
注目したいのは、漏洩した署名証明書が堂々と使われている点だ。Secure Bootを含む信頼チェーンが意図した設計どおりに機能するためには、証明書の管理と失効の仕組みが骨格として機能している必要がある。今回のケースは「流出した証明書はいずれ武器になる」というリスクを再び可視化した。
もうひとつ気になるのは「今動いているから大丈夫」という組織の慣性だ。ネットワーク上に接続が見えない、プロセス一覧に出てこない——そういう状態が既に数年続いていた可能性がある。EDRが全台に入っているから安心、ではなく、EDRが本当に「見えないものを見えるようにしているか」を定期的に検証することが本質だと思う。
ゼロトラストの考え方でいえば、カーネルレベルで隠蔽されたプロセスであっても、ネットワーク層での通信パターンや認証の振る舞いで検出できるはずだ。攻撃者がどこかで「見えてしまう」瞬間を作るのが多層防御の意義で、その層を増やす取り組みを地道に続けることが、こういった高度なAPTへの現実的な対抗策になる。
出典: この記事は Windows version of SprySOCKS Linux malware used to attack govt orgs の内容をもとに、筆者の見解を加えて独自に執筆したものです。