DNSポイズニングで正規更新をハイジャック——Evasive PandaがMgBotを配布した2年越しの標的型作戦の核心

今日の深掘りポイント

• ネットワーク経路上の中間者によるDNSポイズニングで「正規アップデート」を装い、モジュラー型バックドアMgBotを配布する手口が、2022年11月から2024年11月まで持続して観測されました。ターゲットはトルコ・中国・インドの特定被害者です。
• ソフトウェア更新という「信頼の端点」を付け替える攻撃であり、署名検証やTLS検証のすき間、あるいは検証の実装不備を突いた可能性が高いです。組織側の一般的なURL/ドメインブロックやEDRのシグネチャ依存をすり抜けやすい構造です。
• 新規性は中程度ながら、即時性と実行可能性が高く、委託拠点・海外拠点・現地ISPを経由する業務に直結する現実的リスクです。最優先は、更新経路の真正性担保（コード署名強制、ピンニング、Egress制御）とDNS解決基盤の強化です。

はじめに

中国関連APT「Evasive Panda」が、限定的な標的に対してDNSリクエストを毒化し、正規ソフト更新の見た目で悪性コンテンツを配信、最終的にMgBotバックドアを導入していた事案が報告されています。観測期間は約2年（2022年11月〜2024年11月）で、トルコ・中国・インドで被害が確認されています。MgBotはキーロギング、クリップボード収集、音声録音、ブラウザ認証情報窃取などを備えるモジュール型で、潜伏性・持続性の高い情報収集プラットフォームです。

今回の手口は、古典的なDNSポイズニングを、精密な標的選別と中間者位置取りにより「正規更新ハイジャック」へと昇華させた点が本質です。目新しさよりも「実戦的で負荷の低い侵入手段を、長期にわたって安定運用した」ことに価値がある作戦で、ディフェンス側は通信制御と更新信頼チェーンを同時に点検しないと盲点が残りやすいです。

参考情報（報道）: The Hacker News: China-Linked Evasive Panda Ran DNS Poisoning Campaign to Spread MgBot

深掘り詳細

事実整理：何が起き、何が分かっているか

• APT：Evasive Panda（中国関連）。少なくとも2010年代前半から活動し、過去には水飲み場型でmacOS向けマルウェア配布の実績があるとされています（出典は報道・分析に依存します）。
• 技法：特定被害者に対する中間者（Adversary-in-the-Middle）位置取りとDNSポイズニング。正規ソフトの更新要求を改竄・誘導し、悪性ペイロードへ差し替え。
• 期間と地域：2022年11月〜2024年11月。トルコ・中国・インドで被害観測。地政・業務両面で日本企業の海外拠点・現地委託先に隣接するリスク領域です。
• マルウェア：MgBot（モジュラ型バックドア）
  • 機能例：ファイル収集、キーストローク記録、クリップボード収集、音声録音、ブラウザ認証情報窃取。
  • 目的：長期的な情報収集と環境内の静かな拡張に最適化された設計。

上記は、報道および提供情報に基づく概略です。技術的な詳細（どの更新チャネルが脆弱だったのか、TLS/コード署名検証の回避メカニズム等）は未公開部分が残っていると推測します。

インサイト：なぜ効いたのか、どこが防御の盲点か

• 「更新という信頼の鎖」を狙ったことが肝です。多くの組織はユーザー操作系の初期侵入ばかりに注視しがちですが、自動更新の背後で起こる改竄は可視化と制御が遅れがちです。特に以下の条件が揃うと防御が崩れます。
  • 更新チャネルがHTTPや独自実装で暗号化・署名検証が弱い、あるいは検証失敗時のフォールバック挙動が甘い。
  • DNS応答の真正性をエンドポイントや境界で検証していない（DNSSEC非検証、DoH/DoT未強制、任意の外部リゾルバ利用の容認）。
  • Egress制御が緩く、正規ブランドのFQDN解決さえ通れば任意のIP/ASNへの到達を許容している。
• 「静かな長期運用」が成立している点は重要です。鳴り物入りのゼロデイではなく、地味で検出コストの高い経路を長期間維持するオペレーションは、成熟したAPTの特徴です。これは自社のロギングと検出ルールが「派手な侵入イベント」に偏っていないかを映す鏡でもあります。
• 日本企業への示唆は明確です。海外拠点・出張・現地委託のネットワーク上でDNSや更新トラフィックが現地ISPに依存すると、企業側の可視性と統制が弱まります。ゼロトラストやEDRの導入済みでも、更新パイプラインとDNS経路が制御外なら、同様の作戦に脆弱です。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです（技術IDは参照用の仮説で、個別キャンペーンごとに差異がありえます）。

• シナリオA：海外拠点のエンドポイント更新ハイジャック

  • 経路・侵入
    • Adversary-in-the-Middle（T1557）でローカル/ISP側に立脚
    • DNSポイズニングによる応答改竄（T1565.002: Data Manipulation – Transmitted Data）
    • 更新要求を攻撃者配布サイトへ誘導、ペイロード取得（T1105: Ingress Tool Transfer）
  • 実行・永続化・偵察
    • 正規更新プロセスの信頼を装った実行（T1036: Masquerading）
    • スタートアップ/サービス等での永続化（T1547: Boot or Logon Autostart Execution）
    • システム・ネットワーク情報の列挙（T1082/T1016）
  • 認証情報・収集・C2
    • ブラウザ保管資格情報（T1555.003: Credentials from Web Browsers）
    • キーロギング（T1056.001）、クリップボード（T1115）、音声録音（T1123）
    • C2通信はWeb/HTTPSまたはDNSトンネリングのいずれか（T1071.001/T1071.004）
    • データの通常チャネルでの送出（T1041）
  • 影響
    • 認証情報の二次利用による横展開（T1021: Remote Services）
    • 長期の情報収集・監視、ビジネスメールやVPNのドミノ侵害

• シナリオB：出張者・現地委託先のBYODから本社資産へ波及

  • 公衆/ホテルWi-Fiなどの中間者で同様の誘導
  • MgBotが個人端末のブラウザ資格情報を奪取→企業SaaS・メールへ不正ログイン
  • MDMやIdPでの地理・ASベース制御を回避する試行（プロキシ・VPN経由）

• シナリオC（仮説）：TLS/署名検証の実装ギャップ悪用

  • 一部のアップデータが証明書検証の例外処理やコード署名のフォールバックを誤実装
  • DNS誘導後に見かけ上の正規UIを再現し、ユーザー承認を介して実行させるソーシャル併用

ポイントは、いずれも「セキュア更新の設計・運用」と「DNS/出口の経路制御」の合わせ技でないと崩せないという現実です。新規性は派手ではない一方、現場運用に根差した堅牢化が問われるタイプの脅威です。

セキュリティ担当者のアクション

【今すぐ（72時間以内）】

• DNSと更新の可視化
  • 主要ソフトの更新FQDN/ドメインに対する解決先IP/ASN/TTLを可視化し、過去30〜90日のベースラインから乖離をハンティングします（例：TTL極端な短縮、地域外ASN、平常時に見ないCDNエッジ）。
  • EDR/プロキシで、更新プロセス（例：ベンダーのアップデータ、msiexec、winget等）からの外向き通信先を抽出し、未知ASや未承認国宛を隔離します。
• 経路の強制
  • 端末からの外向きDNS（UDP/TCP 53）をブロックし、社内バリデーティングリゾルバ（DNSSEC検証）へ強制ルーティングします。可能ならDoT/DoHを社内ゲートウェイで終端し、上流も暗号化します。
• 署名/証明書の厳格化
  • アップデータ/インストーラのコード署名検証を「必須」に設定し、未知の発行者や署名不備のバイナリ実行をEDR/WDACで拒否します。
  • 主要ベンダーの更新エンドポイントは証明書ピンニング（ピンセット）またはCA/Subjectホワイトリストで検証を厳格化します。
• ハンティングの着手
  • ブラウザ資格情報アクセスのAPI/ファイルアクセス（例：Login Data/Local State、DPAPIの不審利用）、キーロガー典型挙動（低レベルキーボードフック）、オーディオキャプチャAPIの異常使用を過去ログから遡及検索します。
  • 新規自動起動項目、サービス生成、タスクスケジューラ登録の突発を確認します。

【短期（1〜2週間）】

• EgressとDNS制御の標準化
  • アップデート用ドメイン/URLは明示的に許可リスト化し、国・ASN制限を適用します。正規FQDNでも解決先が許容ASN/Geoに合致しない場合は遮断します。
  • ローミング端末向けに、企業DoHエンドポイントへの強制（OS/ブラウザポリシー）を展開します。外部公開DoH/DoTへの直行は禁止します。
• 更新パイプラインの耐性評価
  • 主要ソフトの更新仕様（TLS必須/証明書検証、コード署名検証、メタデータ署名の有無）を棚卸しし、脆弱チャネルにはプロキシ配信＋署名検証の強制を追加します。
  • 社内配布のアップデートはTUF/Notary v2/Sigstore等のメタデータ署名基盤の導入可否を検討します（自社ソフトのサプライチェーン強化）。
• 監視の自動化
  • 重要FQDNのPassive DNS監視（新規解決先、TTL変化、NS変更）と証明書ピン監視（SAN/Issuer/有効期間の異常）をダッシュボード化します。

【中期（30〜90日）】

• 設計の恒久対策
  • 海外拠点・委託先・出張者トラフィックの「全トンネルVPN＋社内解決＋強制更新プロキシ」への集約設計に刷新します。スプリットトンネルは最小化します。
  • WDAC/AppLockerで、アップデート関連プロセスの子プロセス制御（許容ディレクトリ/サイナー限定）を行い、アップデータ経由の任意実行を抑止します。
• レッドチーム/テーブルトップ
  • DNS改竄や中間者を想定した演習で、検出・遮断・事後検証（証跡保全）までの一連の流れを検証します。特に海外ローミング端末を含むパスを重点にします。
• ベンダー連携
  • 主要ベンダーに対して更新チャネルのセキュリティ仕様（TLS強制、証明書ピンニング、メタデータ署名）とDNSSEC署名の有無を確認し、必要に応じて要求事項として契約反映します。

最後に、今回のスコアリングから読み取れるのは、手口の新規性よりも「実現性と即応の必要性」が高いという点です。つまり、奇策への対策より、標準機能を厳格に使い切る運用（検証を必須化し、経路を固定し、観測を自動化する）をどれだけ素早く徹底できるかが勝負どころです。静かな侵入を長く許すか、入り口で跳ねるか——更新とDNSという二つの基盤を今日から見直すことが最短の防御強化になります。