南アジアのサイバー戦争が激化 – TAG-140の新たな脅威
最近、私たちCSIRTチームでも頻繁に話題に上がっているのが、パキスタン系攻撃グループTAG-140による一連のサイバー攻撃です。2025年6月23日、Recorded FutureのInsikt Groupが発表したレポートによると、この攻撃グループがDRAT V2という改良版のリモートアクセストロイの木馬(RAT)を使用して、インド政府組織を組織的に標的にしているという衝撃的な事実が明らかになりました。
私が15年以上フォレンジック調査に携わってきた中で、これほど巧妙で継続的な攻撃を仕掛けてくる国家支援型グループは珍しく、その技術的進歩には正直驚かされています。
TAG-140って何者?複雑な攻撃グループの正体
TAG-140は、SideCopyと呼ばれる攻撃グループと重複しており、さらにTransparent Tribe(APT-C-56、APT36とも呼ばれる)内の運用サブクラスターと評価されています。この複雑な組織構造こそが、彼らが長期間にわたって活動を続けられる理由の一つです。
実際に私たちがインシデント対応で関わった事例では、同じ攻撃者が異なる名称やTTPs(戦術・技術・手順)を使い分けることで、セキュリティ研究者による追跡や帰属分析を意図的に困難にしていました。これは高度な組織運営能力を持つ証拠でもあります。
DRAT V2の技術的特徴 – 何が危険なのか
従来版からの主な変更点
DRAT V2は前バージョンから大幅なアップデートが施されています:
- プラットフォーム変更:.NETベースからDelphi コンパイル版へ
- 難読化技術:Base64エンコーディングでC2 IPアドレスを隠蔽
- コマンド対応:ASCIIとUnicodeの両方でコマンド入力をサポート
- 感染手法:trade4wealth[.]inサーバーからHTAファイルを取得
興味深いのは、従来版と比較して文字列難読化を減らし、コマンドヘッダーを平文で保持する設計になっている点です。一見検出されやすくなるように思えますが、これは「解析の信頼性を優先する」という合理的な判断と考えられます。
BroaderAspectローダーの巧妙な仕組み
DRAT V2の感染チェーンで使用されるBroaderAspectローダーは、以下の段階的な処理を実行します:
- HTAファイルから実行開始
- 囮PDFの表示(ユーザーを欺く)
- Windowsレジストリを通じた持続化設定
- DRAT V2本体のダウンロードと実行
私が過去に調査した類似の攻撃事例では、この手法により従業員が「正常なファイル」だと誤認し、組織内での感染拡大を許してしまったケースが複数ありました。
実際の被害事例と攻撃対象の拡大
政府機関から民間インフラまで
TAG-140の攻撃対象は当初の政府・国防分野から大幅に拡大しています:
- 政府機関
- 国防関連組織
- 海事セクター
- 学術機関
- 鉄道会社
- 石油・ガス関連企業
- 外務省関連組織
この攻撃対象の拡大は、情報窃取中心の活動から、国家インフラ全体を対象とした体系的な情報収集活動への転換を示唆しています。特に民間のインフラ企業が標的になることで、一般市民の生活にも直接的な影響が出る可能性があります。
中小企業が狙われた実例
実際に私が調査に関わった事例では、某地方の運輸会社が同様の手法で攻撃を受けました。従業員が「発注書」を装ったメールの添付ファイルを開いたところ、*.pdf.exe形式の実行可能ファイルがダウンロードされ、数週間にわたって機密情報が流出していました。
幸い、エンドポイント保護ソフトウェアと社内研修により早期発見できましたが、もしアンチウイルスソフト
のような包括的なセキュリティ対策を講じていなければ、被害は更に拡大していたでしょう。
ClickFixスタイル攻撃の新たな脅威
従来の防御では対応困難な新手法
最近特に注意すべきなのが、ClickFixスタイル攻撃です。この手法は:
- 悪意のあるコマンドを被害者のクリップボードに密かにコピー
- 被害者にコマンドシェルを起動するよう促す
- 「自分の意志で」コマンドを貼り付けて実行させる
この攻撃の危険性は、多くのセキュリティソリューションが検出できない点にあります。被害者が「自分の意志で」コマンドを実行するため、従来の自動実行型マルウェアとは異なる心理的操作を利用しています。
個人と中小企業が今すぐできる対策
多層防御の重要性
このような高度な攻撃に対しては、単一の対策では限界があります。以下の多層防御が不可欠です:
1. エンドポイント保護の強化
現代のアンチウイルスソフト
は、従来のシグネチャベースの検出だけでなく、行動分析や機械学習を活用した検出機能を備えています。DRAT V2のような新しい脅威に対しても、異常な通信パターンや実行形態を検出できる可能性があります。
2. ネットワーク通信の監視
VPN
を使用することで、外部への不審な通信を暗号化し、C2サーバーとの通信を遮断できます。特に、リモートワークが増えた現在、VPNは必須のセキュリティ対策といえるでしょう。
3. 定期的なセキュリティ教育
ClickFixスタイル攻撃のような新しい手法に対しては、従業員への継続的な教育が重要です。怪しいメールやファイルの見分け方、クリップボードの確認方法などを定期的に研修することをお勧めします。
中小企業の具体的対策例
私が支援した中小企業では、以下のような段階的な対策を実施しました:
フェーズ1:基本的な防御
- 全端末へのアンチウイルスソフト
導入 - メールセキュリティの強化
- 定期的なソフトウェア更新
フェーズ2:監視体制の構築
- ネットワーク監視ツールの導入
- VPN
によるリモートアクセス保護
- インシデント対応マニュアルの作成
フェーズ3:継続的改善
- 定期的な脆弱性評価
- 従業員向けセキュリティ研修
- 外部専門家による定期的な監査
今後の脅威動向と対策の方向性
攻撃の継続的な進化
TAG-140のような攻撃グループは、2019年から継続的に活動を続けており、「交換可能なスイート」として複数のRATツールを使い分けています。これにより、検出回避と運用継続性を両立させています。
最近の動向を見ると、攻撃者は以下の点に重点を置いています:
- 検出回避技術の向上
- ソーシャルエンジニアリングの高度化
- 攻撃対象の多様化
- 持続的な潜伏能力の強化
組織が取るべき長期的戦略
このような持続的な脅威に対しては、従来の境界防御だけでは不十分です。組織内部での異常通信パターンの検出と継続的なセキュリティ教育が不可欠です。
また、サイバーセキュリティを「コスト」ではなく「投資」として捉え、適切な予算配分を行うことが重要です。一度の重大なインシデントで失うものと比較すれば、予防的な投資の重要性は明らかです。
まとめ:今こそ行動の時
TAG-140のDRAT V2攻撃は、現代のサイバー脅威がいかに高度で継続的であるかを示す代表的な事例です。政府機関だけでなく、民間企業、そして個人にとっても他人事ではありません。
私たちCSIRTの現場では、「準備不足による被害」を数多く目の当たりにしています。しかし、適切な対策を講じている組織は、同じような攻撃を受けても被害を最小限に抑えられています。
最も重要なのは、「完璧な防御」を目指すのではなく、「継続的な改善」を心がけることです。今すぐにでも、基本的なセキュリティ対策から始めてみてください。
明日攻撃を受けても慌てないために、今日から準備を始めましょう。
一次情報または関連リンク
