イラン系MuddyWaterが新バックドア「MuddyViper」でイスラエル複数セクターを侵害—初動はフィッシングとVPN悪用、認証情報窃取で横展開を狙う動きです

今日の深掘りポイント

• 新要素は「MuddyViper」という未文書のC/C++製バックドアで、システム情報収集・コマンド実行・Windows認証情報窃取など、運用型の長期滞在を意図した機能を備える点です。
• 侵入経路はスピアフィッシングとVPNなど外部公開資産の脆弱性悪用の二枚看板で、境界の綻びと人的ミスの同時攻略を志向している可能性が高いです。
• 信頼性・確度は高く、直近での行動が求められる一方、新規性のあるバックドアにより既存検知の死角が生まれやすい状況です。検知ロジックは振る舞い（認証情報アクセス、非ブラウザの外向き通信、横展開の痕跡）を主軸に再設計する必要があります。
• 標的はイスラエルの学術・技術・製造・公共領域ですが、地理・業種のサプライチェーンを通じた波及を前提に、域外組織も攻撃面の棚卸しとハンティングを即時実施すべき局面です。
• MITRE ATT&CKでの初動はT1566（スピアフィッシング）、T1133/T1190（外部リモート/公開アプリ悪用）、横展開はT1003（OS認証情報ダンピング）、C2はT1071（アプリ層プロトコル）などを主線に想定し、検知・緩和を段階的に当てていくのが現実的です。

はじめに

ESETの分析により、イラン支援のMuddyWater（別名MERCURY）がイスラエルの学術、技術、製造、公共部門を狙い、新たなバックドア「MuddyViper」を展開していると報じられています。侵入はフィッシングメールとVPNを含む外部公開資産の脆弱性悪用が用いられ、MuddyViperはシステム情報の収集、任意コマンド／ファイル実行、Windowsのログイン情報窃取などの機能を備えるとされます。域内紛争の高まりとともに、国家支援グループの戦術更新が進み、重要インフラとそのサプライチェーンに対する実効脅威が増大しているとみるべき局面です。The Hacker Newsの報道はESET調査を引用しており、信頼性は高いと評価できます。

メトリクス上も、確度・即時性が高く、かつ新規性が中程度に上ることで、既存ルールに頼るだけでは検知漏れが発生しやすいリスクプロファイルです。SOCはヒューリスティックと行動分析に寄せたハンティングで早期の気付きと封じ込めを優先し、CISOは境界・認証・特権管理の三点で恒常対策を前倒し実装するのが合理的です。

深掘り詳細

事実整理（確認できること）

• 攻撃主体と標的範囲
  • イラン支援のMuddyWater（別名MERCURY）とESETが関連付け、イスラエルの学術・技術・製造・公共部門を標的にしたと報じられています。出典: The Hacker News
• 新バックドア「MuddyViper」
  • C/C++で実装された未文書バックドアで、システム情報収集、ファイル実行、Windowsログイン情報窃取などをサポートし、攻撃者の持続的な制御を可能にするとの報道です。コマンドセットは多数（20前後）に及ぶ記述があります。出典: The Hacker News
• 侵入経路
  • スピアフィッシングとVPNなど外部公開資産の脆弱性悪用が併用されたとされています。出典: The Hacker News

補足的な既知コンテキストとして、MuddyWaterは過去からスピアフィッシング、外部リモートサービスの悪用、認証情報窃取、長期滞在を伴う情報収集を特徴とする国家支援グループとして整理されています。MITRE ATT&CKのグループ定義も、この行動様式を支持する内容です。

インサイト（何が変わり、何が痛いのか）

• スクリプト中心からネイティブ実行型の比重へ
  • MuddyWaterは歴史的にPowerShellなどスクリプト駆動のオペレーションが目立ちましたが、C/C++製の新規バックドア投入はEDR普及環境下での検知回避と安定運用を狙う進化と解釈できます。スクリプト抑止系のポリシー（AMSI、PowerShell Constrained Language、WDAC）だけでは盲点が生まれやすいです。
• 二系統の初動で防御の分断を突く
  • メール由来の初動（T1566）と外部公開資産の悪用（T1133/T1190）を併存させることで、組織内部で所管が分かれる防御（メールセキュリティと境界防御）の「継ぎ目」を突きやすくなります。両面のテレメトリを相関できない体制だと初動対応が遅れやすいです。
• 横展開の主軸は「認証情報」というサプライチェーンの通行手形
  • ログイン情報窃取（T1003）が明示されている以上、横展開はRDP/SMB/WinRM等の正規経路を用いた静かな移動（T1021）が主線になる可能性が高いです。これによりEDR回避と残留性が高まり、検知は「不正な正規動作」をどう捉えるかの勝負になります。
• 地政学イベントに連動した「事前配置」の可能性
  • 重要インフラや公共部門を含む広範な標的選定は、単発窃取だけでなく、情勢変化に応じた段階的エスカレーション（妨害・心理作戦）に備えた事前配置の含意があります。これは国外のサプライヤや多国籍企業にも波及し得るため、域外でも油断できないシナリオです。

脅威シナリオと影響

以下は確認情報に基づき、MITRE ATT&CKに沿って整理した仮説シナリオです（仮説であり、個々の環境での検証が必要です）。

• シナリオA：学術機関を踏み台に防衛関連サプライチェーンへ潜入

  • 初動: T1566.001（添付ファイルによるスピアフィッシング）
  • 実行: MuddyViper展開（ネイティブ実行）
  • 認証情報: T1003.001（LSASSメモリアクセスによる窃取の可能性）
  • 横展開: T1021.001（RDP）、T1021.002（SMB/IPC）
  • C2/データ流出: T1071.001（HTTPS）、T1105（Ingress Tool Transfer）
  • 影響: 設計図や研究データの流出、共同研究先への再拡散により防衛産業へリスクが波及します。

• シナリオB：VPN機器の脆弱性から自治体ネットワークへ侵入し、公共サービスに持続的アクセス

  • 初動: T1190（公開アプリケーションの脆弱性悪用）またはT1133（外部リモートサービス）
  • 永続化: T1547（ブート/ログオン自動起動）等の一般的手法の可能性
  • 認証情報: T1003（OS Credential Dumping）
  • 発見・横展開: T1018（リモートシステム探索）、T1047（WMI）
  • 影響: 庁内業務や住民情報システムへの持続的アクセス。情勢次第で妨害や情報公開リスクに変化します。

• シナリオC：製造業のOT接点周辺での前方展開（IT→OTブリッジを狙う事前配置）

  • 初動: T1566/T1190のいずれか
  • IT側滞在: MuddyViperでC2確立、認証情報収集
  • 側方移動: T1021（Windows/SMB/SSH等）
  • 影響: 直接OTを狙わなくとも、IT-OT連携点の認証/資産情報の掌握により、将来的な妨害・停止のレバーを獲得します。

これらのシナリオは、いずれも「認証情報の窃取と正規経路による横展開」を要にしており、振る舞い検知と認証強化（特にMFAと資格情報保護）が抑止力として効く構造です。

セキュリティ担当者のアクション

優先度順に、現実的に回せるアクションを列挙します。

• 外部面の即応（初動封じ）

  • 外部公開資産の棚卸しと緊急パッチ適用（VPN/SSL-VPN、境界FW/ゲートウェイ、公開Webアプリ）を最優先で進めます。脆弱性の種別を特定できない場合でも、運用バージョンとCVE適用状況の差分を1営業日以内に把握・是正します。
  • VPNのMFA強制、拠点・国別のアクセス制限、匿名VPN・TORからの接続拒否をポリシー化します（T1133/T1190の緩和）。

• メール/アイデンティティ防御の底上げ

  • スピアフィッシング防御の三点セット（SPF/DKIM/DMARCのp=reject、添付の動的解析サンドボックス、URL書き換え）を見直します（T1566の緩和）。
  • AAD/ADの条件付きアクセスで管理者・特権ロールのMFA義務化、緊急アカウントの保護、レガシープロトコル無効化を進めます。

• 認証情報保護と横展開抑止（最も効くコア対策）

  • LSASS保護（Credential Guard、LSASS as PPL）、WDigest無効化、LSAプラグイン監視でT1003の難易度を上げます。
  • Lateral Movement阻止として、RDPの制限（Just-in-Time、ネットワークレベル認証）、SMB署名、ローカル管理者の一意化（LAPS/Entra LAPS）を適用します（T1021対策）。

• ハンティング（挙動中心、ツール非依存）

  • 非ブラウザプロセス（例: rundll32.exe、regsvr32.exe、wscript.exe、非署名のカスタムEXE）からの外向きHTTPS通信を抽出し、SNI/JA3/宛先ASNの新規性でスコアリングします（T1071/T1105の検知）。
  • LSASSへのプロセスハンドル開放の試行、メモリダンプ作成の痕跡、権限昇格に伴うイベント相関（4624/4672/4688/10 Sysmonなど）を組み合わせた検知ルールを強化します（T1003関連）。
  • 新規サービス・スケジュールタスク作成と、直後の外向き通信の関連性を相関します（T1547＋C2確立の連鎖検知）。

• ログ・テレメトリ連携（分断対策）

  • メールセキュリティ、VPN/ゲートウェイ、EDR/NDRのテレメトリを24〜48時間の短窓で相関し、同一ユーザ/端末/時間帯の異常を束ねてケース化します。二系統初動の分断を避ける狙いです。

• インシデント発生時の封じ込め

  • 認証情報流出が疑われる場合は、パスワードリセットとチケット無効化（Kerberos TGT/TGS）を即実施し、レガシープロトコルを一時遮断します。
  • 重要アカウントに対するリスクベース条件付きアクセスの閾値を一段引き締め、地理・デバイス未登録の試行を自動遮断します。

• ガバナンスと対外連携

  • イスラエル拠点・取引先・委託先を持つ場合、IoC共有と緊急連絡体制（1 hop内のMSP/SaaS含む）を更新します。重要業務のRTO/RPOを前提に、事前配置の可能性を踏まえたフォレンジック支援契約を整備します。
  • EDR/メール/ゲートウェイ各ベンダに対し、当該キャンペーンの検知シグネチャ/振る舞いルールの更新状況を確認します（「MuddyViper」名でのカバレッジ問合せ）。

最後に、今回のメトリクスが示唆するのは「確度・即応性が高い一方で、新規バックドアにより既存検知の穴が出やすい」という現場の難しさです。ツール固有のIoC待ちではなく、認証情報アクセスの痕跡、非正規プロセスの外向き通信、正規プロトコルでの横展開といった“変わらない攻撃の物理”を軸に、検知・封じ込めを設計し直すことが肝要です。

参考情報

• The Hacker News: Iran-Linked Hackers Hits Israeli Sectors With New “MuddyViper” Backdoor（ESET調査の要約）: https://thehackernews.com/2025/12/iran-linked-hackers-hits-israeli_2.html
• MITRE ATT&CK Group: MuddyWater (G0069): https://attack.mitre.org/groups/G0069/
• MITRE ATT&CK Techniques（各TTPの定義）
  • スピアフィッシング（T1566）: https://attack.mitre.org/techniques/T1566/
  • 外部リモートサービス（T1133）: https://attack.mitre.org/techniques/T1133/
  • 公開アプリ悪用（T1190）: https://attack.mitre.org/techniques/T1190/
  • OS認証情報ダンピング（T1003）: https://attack.mitre.org/techniques/T1003/
  • リモートサービスによる横展開（T1021）: https://attack.mitre.org/techniques/T1021/
  • アプリ層プロトコル（C2, T1071）: https://attack.mitre.org/techniques/T1071/
  • Ingress Tool Transfer（T1105）: https://attack.mitre.org/techniques/T1105/