Mustang Panda（HoneyMyte）、悪性ドライバとToneShellでEDRをすり抜ける新作キャンペーンが稼働中です

今日の深掘りポイント

• 標準的なEDR/Defenderの監視面を外側から潰す「ドライバ悪用（BYOVD/悪性ドライバ）」にToneShellを組み合わせた運用で、検知の土台が崩されやすいです。
• 2024年9月にC2を先行準備し、2025年前半に作戦展開というオペレーション・テンポが示唆され、長期の潜伏と情報窃取に焦点がある可能性が高いです。
• 東南アジア政府機関を主軸に据えたスパイ活動ですが、日本の公的機関・在外公館・請負事業者（外交・開発・防災・エネルギー）にも波及し得る第三者リスクが高いです。
• 技術的対策は「ユーザ空間」より「カーネル・コード整合性」の堅牢化が要諦で、WDAC/HVCI、有効な脆弱ドライバブロックリスト、ドライバ読込監査の恒常運用が鍵です。
• メールとUSBの両面で「初期アクセス」対策と運用統制が必要で、EDR強化だけでは不十分です。

はじめに

HoneyMyte（Mustang Panda）が新たにToneShellバックドアを用い、主に東南アジアの政府機関を狙ったキャンペーンを展開しているという報告が出ています。研究者の分析では、攻撃準備は少なくとも2024年9月のC2登録から始まり、2025年2月頃から活動が顕在化したとされます。手口の肝は、悪性あるいは脆弱ドライバの持ち込みと読み込みによって標準的なセキュリティツールの検知・防御を迂回し、ToneShellで情報窃取やリモートコマンド実行を継続する構図です。特にミャンマーとタイが狙われ、外交・行政情報の継続的な窃取が想定されます。

本件は、東アジア発のサイバースパイ活動の緊張を一段高めるもので、日本国内の省庁・公共系・商社・インフラ事業者など、SEAルートでの二次侵害を含む波及への備えが必要です。現場レベルでは、EDRの高度化だけでなく、ドライバ読み込み統制やUSB/メール運用の見直しが不可欠です。

参考情報として公開報道を末尾に示しますが、現時点の可用情報は限られるため、以下は確定事実と推測を明確に分けて記述します。

深掘り詳細

事実整理（公開情報の範囲）

• 攻撃主体はHoneyMyte（別名Mustang Panda）です。
• 新たなバックドアとしてToneShellが用いられています。
• 主な標的は東南アジアの政府機関で、特にミャンマーとタイが挙げられています。
• 悪性ドライバ（もしくは脆弱ドライバの持ち込み）により、標準的なセキュリティツールの検知を回避し、より深い層に潜伏します。
• 2024年9月にC2インフラが登録され、数カ月の準備期間を経て2025年2月頃から作戦が展開したと報じられています。
• 目的は情報窃取とリモートコマンド実行です。
• 一部報道ではMicrosoft Defender回避が示唆されています。

出典: Hackreadの報道 です。

インサイト（推測・示唆）

• カーネル空間の優位性を握ることで、ユーザ空間中心のEDRフックを無効化しやすく、検知の前提を崩す「土台破壊型」手口に回帰しています。BYOVD（Bring Your Own Vulnerable Driver）や悪性ドライバの読込は、サイン濫用や古いドライバ脆弱性経由の権限昇格・防御無力化に直結します。
• 2024年9月にC2を確保し、数カ月の間インフラ健全性やドメイン年齢を醸成してから攻撃を開始するオペレーション設計は、レピュテーション検知の回避やドメイン年齢フィルタ無効化に意図がある可能性が高いです。
• 東南アジア政府機関を狙う動機から、外交・安全保障・資源・インフラ関連の長期的な政策情報の先読みが目的と推測されます。日本の対外政策・援助・投資に関与する公的機関や請負企業、在外公館・JICA系プロジェクトなども、サプライチェーンや共有情報基盤を通じて二次的に狙われうるリスクが現実的です。
• メールだけでなくUSBが示唆されている点は、閉域・分離ネットワークやローカルに厳しい制御がある環境を突破するための古典的だが有効なパスとして再評価されていることを示します。実運用では「USBは稀」という前提が、現地拠点や委託先では通用しないケースがあります。
• 本件のリスク・新規性・即時性・実行可能性のバランスからみると、CISO/SOCは「今ある資産で即日実施できるカーネル/ドライバ可視化」と「メール/USB運用の統制強化」から着手し、長期的にはWDAC/HVCIやドライバブロックリストの恒常運用に移行する二段ロールアウトが現実的です。

脅威シナリオと影響

以下は公開情報を踏まえた仮説シナリオで、MITRE ATT&CKに沿って整理します。いずれも確定ではなく、攻撃面の可能性を示すものです。

• シナリオ1: スピアフィッシングからのドライバ持ち込みとToneShell設置です。

  • 初期アクセス: Spearphishing Attachment（T1566.001）やUser Execution: Malicious File（T1204.002）です。
  • 実行・防御回避: 悪性/脆弱ドライバの読込と権限昇格（Exploitation for Privilege Escalation: T1068）、Rootkit的手法（T1014）、Subvert Trust Controls: Code Signing（T1553.002）、Impair Defenses（T1562）です。
  • 永続化: Create or Modify System Process: Windows Service（T1543.003）やレジストリ変更（T1112）です。
  • C2・窃取: Web Protocols（T1071.001）、Encrypted Channel（T1573）、Exfiltration Over C2 Channel（T1041）、Data from Local System（T1005）です。
  • 遠隔操作: Command and Scripting Interpreter（T1059）です。

• シナリオ2: USB媒体を介した閉域ネットワーク侵入です。

  • 初期アクセス: Replication Through Removable Media（T1091）です。
  • 実行・永続化: User Execution（T1204）、Autostart Execution（T1547）です。
  • 防御回避: 前述のドライバ悪用（T1068/T1014/T1562）です。

• シナリオ3: ベンダー・請負を踏み台にした間接侵入です。

  • 初期アクセス: Valid Accounts（T1078）やRemote Services（T1021）です。
  • 横展開・認証情報: OS Credential Dumping（T1003.001）、Pass-the-Hash等（T1550）です。
  • 影響: 政策文書、交渉資料、会議体の議事・議題、認証情報、ネットワーク図が長期に漏えいし、交渉力の低下や対外関係の微妙な変化を招く可能性が高いです。

組織への影響は、単発の情報漏えいに留まらず、継続的な状況認識の差を相手側に与える「戦略的な情報優位」につながりやすいです。特に外交・治安・資源・経済連携の意思決定日程や関係者の相関が読まれると、交渉のタイミングや議題形成で恒常的な不利が生じやすいです。また、防御の土台となるEDRをドライバ層から鈍らせるため、SOCにとって「気づけない期間」が生まれやすく、被害期間の長期化が最も大きなコストになります。

セキュリティ担当者のアクション

即応と中長期の二層で優先度を付けます。EDRの高度化と同時に、カーネル・ドライバ面の統制を強化することが肝要です。

• 即日（運用で挽回できる対策）です。

  • ドライバ読込の可視化を開始します。SysmonのEvent ID 6（Driver loaded）やCode Integrity系ログの収集・相関により、「いつ・どこで・どの署名で・どのパスから」読まれたかを追跡可能にします。
  • 新規・未知・失効署名・期限切れ署名のカーネルドライバ読込を検知・隔離対象にします。ユーザ書き込み可能ディレクトリや一時ディレクトリからのドライバ読込を高リスクに扱います。
  • Microsoft Defenderを運用している場合、Tamper Protection、クラウド保護、EDRブロックモード、ASR（特にOfficeマクロ、LNK、圧縮ファイルの子プロセス抑止）を再点検します。
  • メールとUSBの運用統制を即時に強化します。MOTW尊重、インターネット由来ファイルの既定ブロック、委託先・海外拠点のUSB持込み申請と検査の徹底、オートラン無効化、読み取り専用デバイス化を徹底します。
  • DNS/プロキシで「新規登録ドメイン」「低レピュテーション」「SNI未一致」の通信を段階的に制限し、監視対象にします。C2が数カ月前に準備される傾向を踏まえ、ドメイン年齢のみでの許可は避けます。

• 1〜3カ月（構成変更・テストが要る施策）です。

  • WDAC（Windows Defender Application Control）とHVCI（メモリ整合性）を評価し、段階展開します。Microsoftの脆弱ドライバブロックリストを有効化し、例外管理のガバナンスを整備します。
  • ドライバのサプライチェーン見直しを行います。署名の発行元・有効期限・失効状況・インストーラの入手経路を棚卸しし、境界での配布を制限します。
  • SOCハンティングのプレイブックに「BYOVD/悪性ドライバ侵害疑い時の手順」を追加します。ライブレスキューの設計、オフライン・ハード化スキャン、カーネルアーティファクトの保全と分析手順を整備します。
  • ネットワーク側の恒常的なTLS観測（JA3/JA4、自己署名証明書指標、HTTP/2擬装の振る舞い）とDNSトンネリング検知のしきい値を最適化します。

• 3〜6カ月（体制・ガバナンス）です。

  • 外交・政府系PJに関与する部門・在外拠点・委託先を含む「拡張境界」の資産管理と接続方針を見直します。閉域でもUSBが実質のバックドアになりうる前提で現実的な代替手段と監査を設けます。
  • インシデント・シミュレーションを実施し、EDR失効を前提とした検知（ネットワーク、AD、DNS、プロキシ、エンドポイントの低レベルイベント）での多層検出を訓練します。

• ハンティングと確認ポイント（仮説ベース）です。

  • 直近数カ月のドライバ読込ログの差分で、新規に出現したベンダ署名・モジュール名・パスを棚卸しします。
  • EDRプロセスに対するハンドル操作増加、保護プロセスへのアクセス失敗ログ急増、カーネルコールの異常を示すイベントを相関させます。
  • エンドポイントからのHTTPS外向きで、少量・定期のビーコン、ユーザ活動と無相関の夜間通信、ClientHelloの指紋異常を抽出します。
  • USBの実差分（接続台数・初見ベンダID/プロダクトID・業務時間外の利用）を監査します。

• 経営・政策面の含意です。

  • 本件は技術的にはEDR回避が主題ですが、影響は政策・交渉の長期的な不利に直結します。外交・経済安全保障・エネルギーに関与する部門は、情報分類とアクセス統制を現実運用に合わせて再定義し、国際協働先とのインシデント情報共有経路を平時から整備します。

メトリクス観点では、深刻度・実行可能性・新規性のバランスが「すぐに注意を払うべき」レベルにあります。既存のEDR前提に依存しすぎると盲点が残り、検知の信頼性が時間とともに低下します。まずは「見える化（ドライバ、カーネル、C2の低信頼ヒューリスティクス）」を迅速に立ち上げ、次いで「拒否をデフォルトに近づける（WDAC/HVCI）」という順で成熟度に合わせて進めるのが、現場の摩擦を最小にしつつ実効性を出せる道筋です。

参考情報

• Hackread: HoneyMyte (Mustang Panda) Deploys ToneShell Backdoor against Southeast Asian Governments https://hackread.com/honeymyte-mustang-panda-toneshell-backdoor/ です。