Infy APTが5年の沈黙を破って再稼働——Foudre/Tonnerreの新型とDGA採用が示す再編の実像です

今日の深掘りポイント

• 使い古したC2ドメインの“焼き畑”から脱却し、DGAで生存性を高めたことが最大の変化です。
• 初期侵入は引き続きフィッシングに依存、ダウンローダーFoudreからデータ窃取インプラントTonnerreへ段階的に展開する従来の運用を維持しています。
• 中東・欧州に加えてインドやカナダまで射程に入っており、在外公館・商社・エネルギー・学術/NGOなどの越境組織にとって地理横断の監視がカギです。
• いま効く対策は、IoC適用ではなく「DGAのふるまい検知」と「メールからスクリプト/LOLBin経由のネットワーク接続」という一連のチェーン検知です。
• 現場の判断としては、確度と即応性が高いインシデント種別として優先度を上げ、48–72時間のハンティングとメール/ネットワーク統制の見直しを前倒しで着手すべき局面です。

はじめに

イラン系の長命な脅威アクターInfy（別称：Prince of Persia）が約5年の沈黙を破って活動を再開し、新版のFoudreダウンローダーとTonnerreインプラントを用いたキャンペーンを展開しています。侵入経路はフィッシングメールで、標的はイラン、イラク、トルコ、インド、カナダおよび欧州に広がり、コマンド&コントロール（C2）基盤の強靭化としてドメイン生成アルゴリズム（DGA）の採用が確認されています。これは、過去にスウェーデン、オランダ、トルコなどを標的にした同グループの系譜を引き継ぎつつ、検知回避とインフラ冗長化に舵を切った再編の兆候と見てよい動きです。The Hacker Newsの報道がこの再燃を伝えています。

深掘り詳細

事実（公開情報の要点）

• InfyはFoudre（ダウンローダー）とTonnerre（データ抽出インプラント）を使用し、フィッシングメールを介して配布しています。
• 攻撃はイラン、イラク、トルコ、インド、カナダ、そして欧州へ拡大し、新バージョンのFoudre/Tonnerreが確認されています。
• C2の強化策としてDGAを実装し、ドメインのブロックやシンクホールへの耐性を高めています。
• 約5年ぶりの顕在化で、同グループの継続性と再編を示唆します。
• 出典: The Hacker News

編集部インサイト（何が重要か／なぜ今か）

• DGA採用の意味合い
  • InfyのC2は過去、特定ドメイン依存が弱点でした。DGAの導入は、従来型のドメインテイクダウンや静的IoCに対するレジリエンス向上策です。結果として、検知の重心は「固有ドメインのブロック」から「ふるまい（大量のNXDOMAIN、アルゴリズミックなFQDN、時間軸での失敗解決のバースト）」に移ります。DNSテレメトリを蓄積していない組織は相対的に不利になります。
• 侵入は“変えず”、生存性を“変えた”
  • 初期侵入は依然としてフィッシングに依存しています。これは運用上のコストや成功率の観点から合理的ですが、メールからの実行チェーン（添付/リンク→スクリプト/LOLBin→Foudre取得→Tonnerre展開→C2確立→低速窃取）を安定運用している証左です。新要素はC2の冗長化であり、組織側の検知/封じ込めに「時間の伸び」を与える点が厄介です。
• 地理横断の飛び火リスク
  • 欧州・中東・南アジア・北米にまたがる標的幅は、サプライヤや在外拠点が起点となって日本国内の本社・研究開発・役員層に横展開されるリスクを意味します。特に大使館/在外公館、エネルギー調達、学術/シンクタンク、医療・人道系NGOなど「外交・政策・資源・世論形成」に関わる分野は要警戒です。
• メトリクスからの含意（総合判断）
  • 本件は確度と即応性が高いアラートで、いま適用すべき対処が明確に存在するタイプです。一方で、直接的な事業停止リスクはケースバイケースで、長期の情報窃取と関係者の追跡に軸足がある可能性が高いです。したがって、短期はメール/EDR/DNSの運用ハードニング、長期はDGA時代の監視設計（解決失敗のふるまい検知、プロキシ経由強制、eDNS/DNS over HTTPSの抑制）に資源を配分するのが現実的です。

脅威シナリオと影響

以下は公開情報に基づく推定シナリオであり、仮説を含みます。MITRE ATT&CKは既知のTTPに基づく対応付けで、個々のインシデントで差異が生じる可能性があります。

• シナリオ1：在外公館/外交関連への侵入

  • フィッシング（公電・招待状・業務通知）を起点にFoudreを展開、Tonnerreで文書/資格情報を継続窃取。外交日程や交渉ポジションの把握を狙う低速・長期の作戦です。
  • ATT&CK（推定）:
    • Initial Access: T1566.001 Phishing: Attachment, T1566.002 Phishing: Link
    • Execution: T1204.002 Malicious File
    • Persistence: T1053.005 Scheduled Task/Job（Windows タスク）
    • Defense Evasion: T1027 Obfuscated/Compressed Files & Information, T1036 Masquerading
    • Command and Control: T1071.001 Web Protocols, T1568.002 Domain Generation Algorithms
    • Exfiltration: T1041 Exfiltration Over C2 Channel

• シナリオ2：エネルギー/商社サプライチェーンから本社側への横移動

  • 在外拠点の端末でFoudreが展開し、クラウド共有/VPN経由で本社セグメントへ偵察・横展開。地政学イベントと連動して特定プロジェクトの情報を集約します。
  • ATT&CK（推定）:
    • Discovery: T1082 System Information Discovery, T1018 Remote System Discovery
    • Credential Access: T1555 Credentials from Password Stores（仮説）
    • Lateral Movement: T1021 Remote Services（RDP/SMB、仮説）
    • Collection: T1056.001 Keylogging（仮説）、T1114 Email Collection（仮説）
    • C2/Exfil: 上記に同じ

• シナリオ3：学術/NGOを踏み台にした世論・政策形成のモニタリング

  • 研究協力・助成公募・会議運営を装ったフィッシングで研究者や職員を狙い、調査資料・名簿・メールスレッドを収集。人物相関と影響力の把握を目的にした持続的窃取です。
  • ATT&CK（推定）:
    • Collection: T1113 Screen Capture（仮説）, T1057 Process Discovery
    • Exfiltration: T1041（低帯域・断続的なPOST、仮説）

影響評価の要点として、業務停止よりも「秘匿性の高い意思決定情報の流出」「関係者ネットワークの把握」に重心があり、露見しづらい低速オペレーションで損害の可視化が遅れる傾向があります。したがって、検知のKPIは“ブロック数”よりも“低速C2/Exfilの検知率”や“未知ドメイン解決失敗の異常検知率”に置くのが妥当です。

セキュリティ担当者のアクション

優先度順に「今すぐできること」と「今月中にやること」を分けて提示します。

• 48–72時間以内（即応）

  • メール経路
    • 送信ドメイン認証の厳格化（SPF/DMARCの強制検証、外部なりすまし表示の強化）です。
    • 添付/URLの動的サンドボックス実行と、Office系からの子プロセス起動（cmd.exe、powershell.exe、wscript.exe、mshta.exe、rundll32.exe）を強制的にブロック/許可制にするポリシー調整です。
  • エンドポイント
    • 「ユーザープロセス起点でのDNSクエリ→失敗のバースト→HTTP/HTTPS外向き接続」のチェーン検知ルールを追加します。
    • スケジュールタスク/レジストリRunキーの新規作成監視（作成元がオフィス/スクリプトプロセスのとき高優先度）です。
  • ネットワーク/DNS
    • 企業DNSリゾルバへの強制（DoH/DoTの明示ブロック、エンドポイントからの53/853直外向きを禁止）です。
    • DGAふるまい検知の暫定ルール:
      • 単一ホストからのNXDOMAIN比率の急上昇（例：5分間に連続する10件以上、あくまで運用基準の例）を高優先度でアラート化します。
      • ランダム性が高いFQDN（長いラベル、母音比が極端、辞書非依存）の短時間集中クエリを検知します。
    • 新規登録ドメイン（NRD）への通信制限（プロキシでカテゴリ化し、信頼済み業務のみ許可）です。
  • セキュリティ運用
    • 既知IoCの適用と自動封じ込めの確認です（入手可能になり次第、メールGW/EDR/プロキシに反映）。本件はDGAにより静的IoCの寿命が短い前提で、IoC依存を補強する“ふるまい”ルールを優先します。

• 1–2週間（短期強化）

  • ハンティングの定常化
    • プロセス単位のDNSテレメトリ相関（どのプロセスがどのドメインに、成功/失敗をどう繰り返すか）を収集・検索可能にします。
    • 低帯域のHTTP POSTを繰り返す通信（小さな本文サイズの連続、ユーザーエージェントの不整合、SNIがNRD/DGA様式）を抽出します。
  • クラウド/ID
    • メールとIDの連携検知（フィッシング後の不審サインイン、MFA疲労、OAuth同意アプリの乱用）を可視化します。Infy固有ではない仮説ですが、メール侵入後の横展開経路として要カバーです。
  • 教育/騙しに強い運用
    • 在外拠点・外交/渉外部門・研究/公益部門向けに、現地言語の業務文脈を装うフィッシング実例を用いた訓練を実施します（定着させるため短い反復と事後の手順確認を重視）です。

• 継続施策（設計改善）

  • DNS可観測性の制度化
    • NXDOMAIN・NRD・エントロピー・TTLなどの特徴量をダッシュボード化し、しきい値を「事後アラート」から「予兆検知」へ引き上げます。
  • Egress制御の原則回帰
    • 全HTTP/HTTPSをプロキシ経由に強制、直接外向きを遮断します。SNI/JA3/HTTPヘッダの指紋で未知C2の炙り出しを強化します。
  • 検知KPIの再設計
    • 低速・長期窃取への可視性を測るKPI（低帯域C2/Exfilの検知率、メール→スクリプト→ネットワークの連鎖検知率）を運用指標に組み込みます。

参考までに、シグネチャ/IoCだけではDGAの回転に追随できません。プロセスとDNS・HTTPの時系列相関、NRD/DGA様ドメインの統制、メール→実行→永続化→C2という“行為の連なり”の検知に基準を移すことが、今回のInfy再編に対する実効的な答えになります。

参考情報

• The Hacker News: Iranian Infy APT Resurfaces With New Foudre and Tonnerre Malware, Uses DGA for C2 回避です（2025-12-21）: https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html

以上を踏まえ、CISO/SOCは短期の運用対処と中期の監視設計の両輪で備えるべき局面です。特にDGA対策の“ふるまい検知”と、メールからネットワークに至る攻撃チェーン全体の連関可視化が、今回の再燃に対する決定打になります。