MuddyWaterがMENAの100超の政府ネットワークに侵入——正規メール箱とNordVPNを踏み台にカスタムBackdoor「Phoenix」を展開します

今日の深掘りポイント

• 侵害規模は100超の政府機関に及び、約75%が外交・政府、残りが国際機関・通信事業者と報じられています。外交・通信の要衝を押さえる構図で、長期的な情報優位を狙った作戦と見られます。
• 初期侵入は「侵害済みの正規メールボックス」からのスピアフィッシングで、送信インフラに消費者向けVPN（NordVPN）を用い、信頼と検知回避を両立させています。DMARC/SPF/DKIMの整備だけでは防げない類型です。
• 誘導先はOfficeマクロ有効化で、独自バックドア「Phoenix」を展開し、情報収集・ファイル入出力・継続的C2を実現します。ユーザー操作依存の実行鎖（Enable Content）に強く依存する設計です。
• スコアリングでは「immediacy 9.00」「actionability 8.50」「probability 8.50」「credibility 8.50」と高く、直ちに対応可能かつ実際性・信頼性が高い事案であることを示唆します。現場は72時間以内のハンティングとロールバック準備が妥当です。
• 日本にとっても在外公館・商社・エネルギー・通信のMENA接点が多く、被侵害パートナーからの正規メール経由で被弾する「供給連鎖型フィッシング」リスクが高まっています。受信側のゼロトラスト化が急務です。

はじめに

イラン関与とされるサイバー諜報グループMuddyWaterが、中東・北アフリカ（MENA）で100超の政府ネットワークへ侵入したと報じられています。キャンペーンは8月に開始され、侵害済みの正規メールボックスを用いて高信頼のフィッシングを送り、ユーザーにOfficeマクロを有効化させて独自バックドア「Phoenix」を展開したとされます。Phoenixは感染ホストでの情報収集とファイルのアップロード・ダウンロードを可能にし、長期的なアクセス維持を狙う典型的なスパイウェア運用の様相です。

本件はGroup-IBの調査に基づく報道で、消費者向けVPN（NordVPN）を踏み台にした送信や、正規アドレスからの配信でメール認証やセキュアメールゲートウェイ（SEG）の回避を図った点が注目点です。一次報道は以下にて確認できます。

• The RegisterがGroup-IBの調査を引用した報道です（2025-10-24）https://www.theregister.com/2025/10/24/iran_muddywater_campaign/。

なお、スコアリング指標は以下の通りです（括弧内は編集部の示唆）です。

• score 62.50（総合注目度。対処負荷と外形的インパクトのバランスが高水準です）
• scale 9.50（対象セクタと地域の広がりが極めて大きいことを示します）
• magnitude 9.00（外交・政府・通信という高機密領域への侵入で実害ポテンシャルが大です）
• novelty 8.00（正規メール箱＋VPNの組合せと新バックドア「Phoenix」の投入は検知回避面で新味があります）
• immediacy 9.00（進行中のキャンペーンで早急な対処が必要です）
• actionability 8.50（具体的なメール・EDR・IDベースの防御強化が直ちに実施可能です）
• positivity 1.50（組織にとってのポジティブ要素はほぼなく、脅威が優越です）
• probability 8.50（報道・技術的裏付けの整合性から発生可能性が高いです）
• credibility 8.50（出所の信頼性が高く、TTPも既知のMuddyWater像と整合します）

深掘り詳細

事実（報道・調査で確認されている点）

• 侵害規模は100以上の政府ネットワークで、約75%が外交・政府機関、残りが国際機関・通信事業者です。
• キャンペーンは2025年8月開始とされ、侵害済みの正規メールボックスを悪用し、信頼を担保したフィッシングを展開しています。
• 攻撃インフラはNordVPNを経由し、正規アドレスから悪性メッセージを送信しています。受信側の受信許可リストや地理・ASNベースの単純なブロックを回避しやすい構成です。
• 誘導手口はOffice文書のマクロ有効化で、独自バックドア「Phoenix」をインストールします。Phoenixは情報収集、ファイルのアップロード・ダウンロードなど、典型的なスパイ活動向け機能を備えています。
• MuddyWaterはイランの情報機関に関連付けられ、長期的アクセスと情報収集を目的とする継続的作戦を展開していると評価されています。
  出典：The Register（Group-IBの調査引用）リンクです。

インサイト（検知回避と組織防御への含意）

• 正規メール箱の悪用はメール認証の前提を逆手に取ります。DMARC/SPF/DKIMは「ドメインなりすまし」には有効ですが、「正規送信者アカウントからの悪性メール」には無力です。結果として、SEGやMLベース判定もスコアが下がり、ユーザーの心理的ハードルも低くなります。
• 消費者向けVPNの採用はインフラ秘匿と地域的正当性の偽装に寄与します。組織側でのASN/ジオフェンスや既知の「悪性ホスティング」リスト回避に有効で、ログ上は「普通のVPNユーザ」に見えやすいです。
• マクロ駆動の独自バックドアは、EDRの汎用シグネチャ回避と運用柔軟性を両立します。Microsoftの既定でMOTW付きマクロはブロックされる方向ですが、ユーザー教育の隙や特例運用、内部配布・クラウドストレージ経由など「MOTWを外す導線」を突かれると成立します。
• 侵害の約75%が外交・政府で、残りが国際機関・通信という構図は、対外交渉の先読みに加え、通信メタデータの掌握や中継点化を狙う合目的的な標的化です。国境を跨ぐ政策・商流・人流に結びつくため、日本の官公庁・在外公館・準公的機関・大手民間（特にエネルギー・商社・通信）にも二次被害の経路が開きます。
• スコアリングの「immediacy 9.00」「actionability 8.50」は、進行中の攻勢でありながら、メール・ID・EDR・ネットワークの各層で「今日からやれる」対策があることを示します。72時間のタイムボックスでハンティングと封じ込めを回す価値が高い事案です。

脅威シナリオと影響

以下は報道事実を基にした仮説シナリオで、MITRE ATT&CKに沿って技術的観点を整理します（仮説は明記のうえで提示します）。

• シナリオA：正規メール箱を踏み台にした対外交・政府のスパイ活動

  • Resource Development：T1586（アカウント侵害）/ T1583（インフラ獲得；VPN利用の隠蔽）と仮定します。
  • Initial Access：T1566.001（スピアフィッシング添付）です。
  • Execution：T1204.002（ユーザー実行／悪性ファイル）、場合によってはT1059.005（VBAマクロ）と推定します。
  • Persistence（仮説）：T1053.005（Scheduled Task）やT1547.001（Run Keys）などの汎用手口が想定されます。
  • Command and Control：T1071.001（Webプロトコル）と推定します。PhoenixがHTTP(S)で双方向通信する可能性が高いです。
  • Collection/Exfiltration：T1005（ローカルデータ取得）、T1041（C2経由持ち出し）です。
    影響は機密公電、交渉文書、資格情報、添付情報の継続的流出です。

• シナリオB：通信事業者への侵入を通じたメタデータ・傍受可能性の拡大

  • Discovery/Lateral Movement（仮説）：T1018（リモートサービス発見）、T1021（リモートサービス）です。
  • 目的はネットワークトポロジや監視インフラの把握で、メタデータ分析や選択的のぞき見の足場化が想定されます。
    影響は対標的組織・人物の関係性・行動推定精度の向上です。

• シナリオC：国際機関・援助機関からのサプライチェーン型拡散

  • 侵害済み組織からパートナーへ再送（転送信頼）でフィッシングを連鎖させるパターンです。
  • Initial Access再現：T1566.001を正規スレッドリプライで包む形で実行します（Thread Hijacking）。
    影響は広域な二次被害で、日本の公官庁・在外公館・大手民間にも波及しやすいです。

• シナリオD（日本向け仮説）：MENAの在外拠点・商流を窓口に国内基幹への侵入

  • Entryは外務・エネルギー・商社の現地拠点メールからの正規連絡を装った攻撃です。
  • 目標は対中東政策、資源調達、海運ロジ情報の先読みです。
    影響は政策・企業意思決定の先読みと交渉不利、機微取引の損失につながります。

いずれも「正規メール箱＋消費者VPN＋マクロ駆動」という低コスト・高効果の連携で初期侵入を成立させる点が共通で、メールの“信頼”を武器化しているのが本質です。

セキュリティ担当者のアクション

直近72時間での即応と、2週間程度の強化、恒常運用の三層で提示します。

• 0〜72時間（インシデント即応）

  • 受信トリアージの強化です。8月以降に受信した「正規パートナーからの不審添付（.docm/.xlsm）」「Enable Content誘導」メールの横断検索を実施します。
  • EDR/ログでOffice子プロセスをハントします。WINWORD/EXCELからのpowershell.exe/cmd.exe/wscript.exe/spawn、Officeテンポラリ配下からの実行、レジストリ変更を優先確認します。
  • ネットワークで未知C2通信の検知を強化します。新規ドメイン（NXDOMAIN回数増、登録から短期間）、正規クラウドを装う小粒の双方向通信を狙い撃ちします。
  • メールゲートウェイでパートナー・ホワイトリストの棚卸しと一時無効化を検討します。正規アドレスからでもサンドボックス／リンク置換を強制します。
  • エンドポイントで「インターネット由来マクロ（MOTW）をブロック」を既定化します。例外運用がある場合は即時停止か事前承認化します。
  • 侵害想定のプレイブックを回し、疑わしい端末はネットワーク隔離、資格情報のローテーション、メール転送・仕分けルールの点検（自動転送・隠しルールの除去）を行います。

• 2週間以内（構造的強化）

  • メールゼロトラストです。DMARC強制（p=reject）は「自組織が踏み台にされる」リスク低減に有効ですが、受信側はDMARC合格でも検疫・サンドボックスを通す方針に切り替えます。
  • フィッシング耐性MFAの徹底です。メール・VPN・IdPにFIDO2/WebAuthnを導入し、OTPリンク中継型攻撃への耐性を上げます。
  • 消費者VPN・匿名化サービス経由のログイン可視化です。CASBやIdPのリスクベースポリシーで「匿名化AS/既知VPN ASN・出口IP」を低信頼に分類し、ステップアップ認証・ブロックを適用します。
  • 添付ファイル分離（CDR）とクラウド経由ファイルのMOTW維持を義務化します。ZIP内ファイルも展開検査します。
  • パートナー接続のセグメンテーションです。外部送受信メールから内部業務基盤へ直行できない設計（VDI中継、閲覧専用分離など）を検討します。
  • 検知ルール整備です。Sigma/EDRで「Office→スクリプト実行」「スケジュールタスク新規作成」「不審なRunキー追加」「ブラウザ外HTTP POSTの連続」を定義します。

• 恒常運用（継続的な抑止・検知・復元性）

  • Threat Intel連携で、消費者VPNの出口IPレンジ更新、侵害が疑われる正規ドメインの送信挙動（SPF/DMARC逸脱や急増）を継続監視します。
  • メールスレッド乗っ取り（Thread Hijacking）をユーザー教育の重点項目にします。「知っている相手」からでも、マクロ有効化・パスワード付きZIP・外部クラウドDLに慎重になる行動規範を徹底します。
  • バックアップと復元ドリルです。長期潜伏に備え、重要データの世代管理と迅速な端末リプレース手順を整備します。
  • パートナー・ベンダーのセキュリティ条項を更新し、メール認証、MFA、インシデント通知SLOを契約に明記します。

参考までに、本件のスコアリングで「immediacy 9.00」「actionability 8.50」「probability 8.50」「credibility 8.50」と高いことは、「今まさに起きており、現場で打てる手があり、起こっている可能性が高く、情報源の信頼も高い」という四拍子が揃っていることを意味します。CISO/SOCは「メール信頼モデルの見直し」「マクロ鎖の遮断」「IDリスク制御」という3点を今日から動かすべきフェーズです。

参考情報

• The Register（Group-IB調査の報道。2025-10-24）: https://www.theregister.com/2025/10/24/iran_muddywater_campaign/