MOIS系MuddyWaterが米金融・空港・ソフトウェア企業に潜伏、新Deno製バックドア「Dindoor」で静かに足場を拡大中です

今日の深掘りポイント

• イラン情報省（MOIS）系とされるMuddyWaterが、米国の銀行・空港・ソフトウェア企業のネットワークに潜伏し、新しいDenoベースのバックドア「Dindoor」を活用して侵入を拡大している可能性が高いです。
• 地政学イベント（米・イスラエルの軍事行動）直後に活動が活発化している点は、サイバー領域が外交・軍事の圧力調整弁として機能している典型例です。
• Denoの採用はEDR検知の死角を突く合理的な選択で、既存のPowerShell系TTPに“もう一段”の難読化・多様化が加わる構図です。
• 金融・航空の運用環境では「横移動の初期兆候」「PowerShell実行の統制」「外向き通信のゼロトラスト適用（アプリ・ID起点の制御）」を最優先で具体化すべきです。
• 信頼度・実現可能性が高く、即時の運用アクションに落とし込める内容です。一方で新規性は“マルウェアそのもの”より“運用上のギャップ露呈”にあると見ます。

はじめに

今回取り上げるのは、国家系スレットの「静かな侵入」が、私たちの検知・抑止の前提を少しずつ侵食している話です。見出しで目を引くのは新種のバックドア名や狙われた業種ですが、本質はそこで稼いだ初期足場をどれだけ長く保ち、どれだけ目立たずに横展開できるかという運用の巧拙にあります。環境の“普通さ”に寄り添うほど、検知は難しくなります。Denoという比較的新しい実行基盤の採用は、その「普通さ」の輪郭を曖昧にする一手です。だからこそ、私たちの対策も“プロセス名や既知のIヌケータ”を超えて、ふるまい・権限・外向き経路を面で押さえる設計にアップデートする必要があります。

深掘り詳細

事実整理（いま何が起きているか）

• 報道によれば、イラン情報省（MOIS）に関連づけられるMuddyWaterが、2月初旬から米国内の銀行・空港・ソフトウェア企業などに侵入し、米・イスラエルの軍事攻撃後に活動を加速させたとされます。新たに「Dindoor」と呼ばれるバックドアが観測され、特にイスラエルのネットワークを狙った運用が示唆されています。The Registerの報道が端緒になっています。
• MuddyWater自体は、過去に米政府がMOISとの関連を公的に指摘しており、スピアフィッシング、公開サービスの悪用、PowerShellをはじめとする「OSに溶け込む」運用（LOLBins/LOTL）で足場を作る手口が広く記録されています。歴史的な位置づけを示す公的勧告として、2022年の米政府共同アドバイザリが参考になります（内容はMuddyWaterのTTP全般に言及）［参考：CISA共同勧告（2022年）］(https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-015a)。
• 今回注目の「Dindoor」は、JavaScript/TypeScriptの実行基盤であるDeno上で動く（またはDenoを取り込んだ形で実行される）とされ、コード署名の存在や正規風の実行履歴を残せる点から、従来のPowerShell偏重の検知設計に“すき間”を生みやすいのが要点です。

（注）本稿は公開情報に基づく二次情報の整理であり、個別の侵入経路・固有のIoCは追加の一次情報開示を待つ必要がある前提で記述しています。

編集部のインサイト（どこに戦略的な示唆があるか）

• Denoの採用は「検知の非対称性」を突く動きです。EDR/AVはPowerShellやmshta、wscriptなど既知の実行基盤に深い検知知見を持つ一方、Denoは業務での利用頻度が低いため、統計的に“珍しい＝検知”と“正規の開発チーム利用”との切り分けが難しい環境もあります。つまり、プロセス名ベースの簡易ブロックは誤検知リスク、素通しは見逃しリスクが上がるという二律背反が生まれます。
• 新規マルウェアの“新しさ”よりも、運用面の熟達（横移動に要するノイズ最小化、外向き通信の目立たなさ、認証情報の静かな収集）に重心があるのがMuddyWaterらしさです。ゆえに、組織の検知力は「エグレスの最小特権」「スクリプト実行権限のファーストクラス市民化（監査・統制・逸脱検知のセット）」を実装できているかで大きく分かれます。
• 業種別の懸念は少し異なります。銀行では、人・特権・ホスト・データ（決済系・規制データ）に対する“四重の分離”の徹底が肝で、横移動の初期兆候（Kerberoasting、DCSync未遂、資格情報のファイル落とし込みなど）を週次ハンティングに昇格させる価値が高いです。空港では、ITからOT/運航支援系への越境を断ち切る境界設計（ジャンプサーバとワンウェイの成果物転送）と、運用上やむなく必要なリモートツールのサプライチェーン健全性が決め手になります。
• 全体の“確からしさ”と“即応の必要性”は高い一方、「Deno製バックドア」という技術的新規性は、検知設計の陳腐化を突く“運用論”として読むのが生産的です。つまり、個別のマルウェア名への追随ではなく、スクリプト実行基盤全般に対するアプリケーション制御とふるまい検知を底上げするのが正解です。

脅威シナリオと影響

ここからは仮説ベースのシナリオを、MITRE ATT&CKのフェーズに沿って整理します。個社環境により当てはまりは異なるため、あくまでハンティング計画の叩き台としてお使いください。

• 想定シナリオA（金融）：メール＋外部向けアプリ悪用で初期足場→資格情報収集→決済・報告系の偵察

  • Initial Access: Spearphishing Attachment/Link（T1566）、Exploit Public-Facing Application（T1190）
  • Execution: PowerShell（T1059.001）、JavaScript via Deno（T1059.007相当）
  • Persistence: Scheduled Task（T1053）、Registry Run Keys/Startup Folder（T1547）
  • Privilege Escalation/Credential Access: Exploitation for Privilege Escalation（T1068）、OS Credential Dumping（T1003）
  • Discovery: Network/Account/Service Discovery（T1046/T1033/T1049）
  • Lateral Movement: SMB/RDP/WMI（T1021.002/T1021.001/T1047）
  • Command and Control: Web Protocols over HTTPS（T1071.001）、Proxy/Redirectors（T1090）
  • Collection/Exfiltration: Exfiltration Over C2 Channel（T1041）
  • 影響：財務・市場関連の機微情報流出、将来的な決済妨害のための地ならし（足場維持）です。

• 想定シナリオB（空港）：ヘルプデスク由来の正規ツール悪用→運航支援IT（DCS、GMS、FIDS等）への偵察→OT/運用系越境の試行

  • Initial Access: Valid Accounts（T1078）、External Remote Services（T1133）
  • Defense Evasion: Signed Binary/Proxy、Living-off-the-land（複合）
  • Lateral Movement: Remote Services（T1021）、Pass the Hash/Ticket（T1550/T1558）
  • C2/Exfiltration: 同上
  • 影響：旅客処理・手荷物・表示系の可用性低下リスク。ただし越境はネットワーク分離の堅牢性に大きく依存します。

• 想定シナリオC（ソフトウェア企業）：開発者端末→CI/CD→署名鍵・アップデート機構への接近

  • Initial Access/Execution: 同上
  • Persistence: Developer toolchainへのフック、ビルドエージェント常駐
  • Impact: サプライチェーン汚染（改ざんバイナリの配布、署名鍵の悪用）

検知・抑止の注視点（横断）です。

• Deno関連の実行痕跡（deno実行、あるいはdeno由来の単体バイナリ）と、プロセス親子関係の不自然さ（Office→スクリプト→deno等）です。
• PowerShellの高度化（反射型ローディング、EncodedCommand、Constrained Language Mode回避）です。
• 外向き通信の「誰が・何で・どこへ」の不整合（新規登録ドメイン、ユーザーエージェントの異常、プロキシ非経由）です。
• 永続化の低ノイズ化（スケジュールタスク、WMIサブスクリプション、サービスポートの小変更）です。

セキュリティ担当者のアクション

優先順位をつけて、今日から90日で効果が出る現実解に落とします。

• すぐにやる（0–14日）

  • Deno実行の可視化と暫定ポリシーです。業務でDenoを使っていない場合、denoバイナリ（およびdeno由来の自己完結バイナリ）の実行をEDRで即アラート、可能ならWDAC/AppLockerでブロックします。開発利用がある場合は、利用部署・端末をホワイトリスト化し、境界外ではブロックします。
  • PowerShellの監査を最大化します。Script Block LoggingとModule Loggingを有効化し、Constrained Language Mode適用範囲を棚卸しのうえ管理系端末で徹底します。
  • 外向き通信の「既定拒否＋プロキシ強制」です。直接インターネットへ出る経路を遮断し、未知のプロセスからのHTTPSはプロキシ経由以外不可にします。SNI/JA3/カテゴリベースのブロックを強化し、新規登録ドメインは段階的に制限します。
  • 横移動の初期兆候ハントです。以下の“ふるまい”に週次のハンティング枠を割きます。
    • Office/ブラウザ→スクリプト→権限昇格系バイナリ（cmd、powershell、rundll32、wscript、deno等）
    • schtasks/at、WMIイベントサブスクリプション、レジストリRun/RunOnceの新規登録
    • lsassへのOpenProcess、SAM/SECURITYハイブの読み出し、NTDS.ditアクセスの試行
  • 身元の強化です。管理系アカウントのMFA徹底、ローカル管理者の回転、RDP公開の即時是正（ゼロトラストリモートに移行）です。

• 近々やる（15–45日）

  • エグレスのゼロトラスト設計に着手します。アプリケーションIDやデバイス姿勢を条件にしたプロキシ/サービスエッジ経由の外向き制御へ移行し、プロセス単位の許可を定義します。
  • アプリケーション許可制を範囲拡大します。まずはサーバー、次に開発以外の業務端末で“実行可能ファイルの既定拒否＋許可リスト”を導入します。
  • サプライチェーンの要（CI/CD・署名鍵・リモートツール）の強化です。ビルド環境のネットワーク分離、署名鍵のHSM格納とオフライン化、リモートツール（RMM/ヘルプデスク）の二要素必須とSSO統合を進めます。
  • 銀行・空港向けにジャンプサーバの標準化です。運航・勘定系の管理アクセスは特権アクセス管理（PAM）経由に限定し、セッション録画・コマンド監査を有効化します。

• 腰を据えてやる（45–90日）

  • シナリオ駆動のパープルチーム演習です。Deno実行、PowerShell難読化、スケジュールタスク永続化、HTTPS C2を組み合わせた“静かな横移動”を仮想環境で再現し、検知・封じ込めのSLAを検証します。
  • ログの“採る・貯める・使う”の見直しです。エンドポイント・ID・ネットワークのテレメトリを、ハンティングに必要な保持期間（少なくとも90日）で一元化します。
  • 重要業務の“機能分離の再設計”です。人（特権）、ホスト（管理端末）、データ（機微）、ネットワーク（運用）の四重分離を、例外申請とレビューで回る仕組みに落とします。

最後に、今回のメトリクスが示唆するのは「確からしさ・緊急性が高く、現場が今すぐ動く価値がある」という一点に尽きます。新種バックドア名の追跡に終始するのではなく、スクリプト実行基盤の面管理、横移動の初期兆候ハント、外向き通信のゼロトラスト化という“環境側の原則”に投資したチームが、中長期で最も大きなリターンを得ます。足場を築かれてからの戦いではなく、足場を築かれない環境を作ることが、最も静かで、そして最も強い防御です。

参考情報

• The Register: MuddyWaterが米国のネットワークに潜伏、新たなバックドアを運用（2026年3月） https://go.theregister.com/feed/www.theregister.com/2026/03/05/mudywater_backdoor_us_networks/
• CISA共同勧告（2022年）: Iranian Government-Sponsored APT Actors: MuddyWater https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-015a