アジアのIISに潜る“BadIIS”亜種――中国関与UAT-8099、SEO詐欺と正規ツール濫用で静かに持続化します

今日の深掘りポイント

• 目的は「SEO詐欺」でも、実態はIISの長期侵害です。Web改ざんを超え、IISモジュール／シェルでレスポンスを改変し、検索エンジンだけを狙う“見えない不正”が続きます。
• 侵入後はPowerShellとGotoHTTPなど正規ツールで定着します。EDRの見逃しや運用の目詰まりを狙った「環境に溶け込む」戦術が目立ちます。
• タイ／ベトナムを主軸に、インド、カナダ、ブラジルにも波及の報。日本のサプライチェーン・海外拠点・委託先経由の巻き添えに現実味があります。
• IIS特有の盲点（ネイティブ/マネージドモジュール、applicationHost.configの差分、w3wp.exeの子プロセス）を突く攻撃です。監視は「Windows的視点」と「IIS的視点」の二層で設計すべきです。
• 最短の現場対策は「IISモジュール棚卸し」「w3wp→powershell.exeの生成監視」「Google/Bingクローラへのクローク検知」。72時間以内にやり切る価値があります。

はじめに

UAT-8099と呼ばれる中国関与の脅威アクターが、2025年末から2026年初頭にかけてアジア圏のIISサーバーを静かに侵害し、BadIIS系マルウェアでSEO詐欺を仕掛けています。狙いは検索エンジンのクロール挙動に合わせてコンテンツを“見せ分ける”ことで、被害サイトのオーナーや一般利用者からは気づかれにくいのが厄介な点です。さらに、侵入後のオペレーションはWebシェルとPowerShell、そしてGotoHTTPなどの正規ツールに寄りかかり、検出回避と持続化を両立します。

本件は“金銭目的のスパム汚染”に見えて、IISという業務基盤を深く押さえるタイプの侵害です。被害面はブランド毀損や検索順位への長期影響にとどまらず、踏み台化・横展開の起点にもなり得ます。IISを運用するSOCやCISOは、OSとIISの双方にまたがる監視・ハードニングの再設計が要ります。

出所が公開情報に限られる現時点では、一次報道としてのハイレベルなファクトを軸に、IIS特有の攻撃面と運用上の盲点を掘り下げます。なお、個別の戦術・技術・手順（TTP）はMITRE ATT&CKに沿って整理し、今日から回せるアクションに落とし込みます。

深掘り詳細

事実関係（確認できること）

• 脅威アクター: 中国関与とされるUAT-8099。2025年末〜2026年初頭に攻撃活発化、主にタイとベトナムの脆弱なIISを標的に、インド、カナダ、ブラジルでも活動が確認されたと報じられています［出典: The Hacker News］。
• 侵入とポスト侵入:
  • Webシェルの設置とPowerShellによるスクリプト実行。
  • 正規リモートアクセスツール「GotoHTTP」を展開し持続的なリモート操作を確保。
• ペイロード/目的:
  • BadIISの新バリエーションで検索エンジンのクローラに対するSEO詐欺（動的ページへのJSリンク注入、地域別カスタム）を実施。
  • 検出回避と長期持続性のため、OS組み込みや正規ツールを多用する方針。
• 参考:
  • 攻撃キャンペーンのサマリは二次報道ですが、WebシェルやPowerShell、IISモジュールによる持続化はATT&CKにも整理される一般化したTTPです（Webシェル: T1505.003、IISコンポーネント悪用: T1505.004、PowerShell: T1059.001）［MITRE ATT&CK］。

出典:

• China-Linked UAT-8099 Targets IIS Servers with BadIIS SEO Malware（The Hacker News）
• ATT&CK T1190: Exploit Public-Facing Application
• ATT&CK T1059.001: Command and Scripting Interpreter: PowerShell
• ATT&CK T1505.003: Server Software Component: Web Shell
• ATT&CK T1505.004: Server Software Component: IIS Components

インサイト（編集部の視点）

• 「SEO詐欺＝軽微」ではないです。IIS応答パイプラインでの不正（IISモジュール／ISAPI／Webシェル連携）は、アプリの再デプロイやCMS更新では落ちません。OS/IIS層での持続化は検知・駆除の難易度が格段に上がります。
• 正規ツール濫用の妙味。GotoHTTPは過去のアジア圏インシデントでも度々確認される正規リモートツールで、EDR/プロキシ基盤に馴染みやすくアラート閾値を超えにくいです。PowerShellもスクリプトブロックロギングが無効なら、短時間の侵害では痕跡が薄くなります。
• クローク（クローラにだけ見せる）戦術はビジネス側の検知遅延を誘発します。社内ブラウザでは再現せず、検索経由でのみ露見するため、広報・マーケの「検索健全性監視（Search Console連携）」をSOCの監視メニューに束ねる意義が高いです。
• 地域別カスタマイズは、単純なYARAや文字列検知の効率を下げます。IISのモジュール列挙・署名検証・ロード元ディレクトリ監査など、実装中立のコントロールに寄せるのが堅実です。
• 攻撃の即時性と現実味は高い一方、技術的な新規性は中庸です。言い換えると「いま動く守り」を優先投入すれば相当量を減災できます。特にIIS固有の監視・制御を持っていない組織は優先度を上げるべきフェーズです。

脅威シナリオと影響

以下は公開情報に基づく整理と、現場設計に役立つ仮説シナリオです。仮説はその旨を明記します。

• シナリオ1（確認的）: 公開IISの脆弱性悪用→Webシェル→PowerShell→BadIIS系モジュール常駐→SEOクローク

  • 初期侵入: Exploit Public-Facing Application（T1190）
  • 実行: PowerShell（T1059.001）
  • 持続化: Web Shell（T1505.003）、IIS Components（T1505.004）
  • 防御回避: Obfuscated/Compressed（T1027）
  • 影響: 検索結果の改変、ブランド毀損、検索エンジンからの評価低下、広告/オーガニック流入の長期毀損

• シナリオ2（仮説）: SEO詐欺に見せかけた足場確保→GotoHTTP常設→運用監視の死角で踏み台化

  • コマンド&制御: Web Service/アプリ層のプロトコル（T1102/T1071.001）
  • 持続化: Windows Serviceとしての常駐（T1543.003）
  • 横展開（仮説）: 侵害Webサーバーを踏み台に、内部資産や隣接クラウドへの資格情報収集・探索を実施
  • 影響: 攻撃者のマルチユース（SEO収益＋再販売アクセス）により、被害の二次的拡大

• シナリオ3（仮説／サプライチェーン）: 海外委託先・共同運用のIIS汚染→日本国内ブランドの検索露出に副作用

  • クロークによる検索評価の低下、検索エンジンの手動対策/インデックス抑制
  • マーケ/広報の回復コスト（検索健全性クリーニング、再審査）と機会損失

総じて、攻撃の“即応性と信憑性”は高く、すでに露出があるIIS運用者には短期のアクション投下が合理的です。一方でTTPは目新しさよりも実装の巧妙さに寄るため、観測ベースの対策で十分に先手を取れるフェーズにあります。

セキュリティ担当者のアクション

優先順位を明確に、72時間／2週間／90日の三段ロールで示します。実施前に必ず検証環境でテストしてください。

• 72時間以内（被害最小化と早期検知）

  • IISモジュールの棚卸し
    • コマンド例:
      • 管理者コマンド: C:\Windows\System32\inetsrv\appcmd.exe list modules
      • PowerShell: Get-WebGlobalModule | Select Name, Image
      • applicationHost.configの「system.webServer/modules」「globalModules」の差分確認（署名・配置パス・更新日時）
  • w3wp.exeからの子プロセス生成監視
    • EID 4688（プロセス作成）、w3wp.exe→powershell.exe/ cmd.exe / certutil.exe などの相関検知
    • PowerShell Script Block Logging（EID 4104）を有効化し、-EncodedCommand/-w hidden の出現をハント
  • GotoHTTPの有無確認と遮断
    • サービス/タスク列挙: sc query type= service state= all | findstr /i gotohttp、Get-Service goto
    • 発見時はネットワーク隔離・証跡保全（メモリ/ディスクイメージ、IIS/W3Cログ）
  • クローク検知（検索クローラ経由のみの改変）
    • Google/Bingクローラのアクセスだけで異なるレスポンスが返るかを確認
    • Googlebotの正当性検証手順に従い、なりすましを排除します（Google: Verifying Googlebot）
  • 露出サービスの即時棚卸し
    • Shodan/Censys等の外形スキャンでIIS公開実態を再確認（バージョン、既知脆弱性の露出）

• 2週間で（構成是正と恒常監視）

  • IISハードニングの標準化
    • 最小権限のアプリプールID、不要モジュールの除去、Request Filteringの適用、web.configの改ざん監視
    • IIS設定の構成管理（GPO/Desired State Configuration）でドリフト検出
  • OS/ミドルウェアのパッチ適用SLA整備（公開サーバー優先）
  • WDAC/AppLocker等でw3wp.exeからの powershell.exe 実行を原則禁止（運用必要ケースは明示許可）
  • 監視強化ダッシュボード
    • IIS W3Cログの尖った指標（長大クエリ文字列、異常User-Agent、内部から外向きの大量HTTP）
    • applicationHost.configの変更監視（ファイルハッシュ・監査）
  • Egress制御
    • DMZ/公開Webからの外向き通信を最小化し、正規リモートツール（GotoHTTP等）の外向き到達を遮断

• 90日で（持続的レジリエンス）

  • 「IIS向け脅威モデリング」の定着
    • OS層・IIS層・アプリ層の三面監視、ログ保持期間の適正化（少なくとも90日）
  • ブルーチーム演習
    • T1190→T1059.001→T1505.004のシナリオで紫チームを実施し、検知/封じ込めのMTTD/MTTRを測定
  • マーケ/広報と一体の監視運用
    • Search Consoleやブランドセーフティ指標をSecOpsに取り込み、クロークやSEOスパムの早期検知をビジネスKPIと連動

参考情報

• China-Linked UAT-8099 Targets IIS Servers with BadIIS SEO Malware（The Hacker News）
• MITRE ATT&CK T1190: Exploit Public-Facing Application
• MITRE ATT&CK T1059.001: PowerShell
• MITRE ATT&CK T1505.003: Web Shell
• MITRE ATT&CK T1505.004: IIS Components
• MITRE ATT&CK T1543.003: Windows Service
• Google Developers: Verifying Googlebot

最後に。今回のキャンペーンは、手の内そのものよりも「IISの運用の隙」を鋭く突いてきたことが本質です。私たち守り手がOSとIISを“別物”として見てしまう視界の段差が、攻撃者の持続化に変換されます。視界をそろえ、72時間で基礎を固め、2週間で運用に織り込み、90日で強度を測り直す。この地に足のついた積み上げが、もっとも速く、もっとも遠くまで届く守りになります。次のアラートが鳴る前に、今日の一手を置いていきたいです。