DoHで隠すC2、正規プロセスに潜るDohdoor——教育・医療を狙う多段階バックドアの現実味

今日の深掘りポイント

• DoH（DNS-over-HTTPS）をC2に使うことで、従来のDNS監視をすり抜ける“静かな持久戦”を実現しています。
• 初期侵入はフィッシング、展開はPowerShellとバッチ、実行はDLLサイドローディング、持続は正規プロセスへの注入——攻撃サイクル全体が「目立たない選択」で構成されています。
• C2はCloudflareインフラの背後に隠れ、ネットワーク的には「大手CDN/DoHへのHTTPS通信」にしか見えないため、遮断の意思決定には緻密な運用ルールが必要です。
• 教育・医療の“開放性と制約の両立”という現場事情（多様な端末、古い機器、24x7運用）が、長期潜伏の土壌になっています。
• 直近はEDRの振る舞い検知とDoHの統制で間に合いますが、中期的には「DNSアーキテクチャの見直し」と「ブラウザ/OSのDoHポリシー統制」が勝負どころです。

はじめに

Cisco Talosが、2025年12月以降に活動を開始したUAT-10027による新バックドア「Dohdoor」のキャンペーンを報告しています。標的は教育と医療。コマンド・アンド・コントロール（C2）にDNS-over-HTTPS（DoH）を用い、正規Windowsプロセスへのペイロード注入、Cloudflareインフラの悪用といった手口で、検知を丁寧に回避してきます。脅威の質は「奇抜さ」ではなく「運用最適化」。サプライチェーン経由での金銭窃取や諜報への転用が見えるぶん、地に足のついた危険さがあります。

本件は、“すぐ動けるか”が問われるタイプのインシデントです。実運用の視点で、何をどこから締めるべきか、深掘りしていきます。

参考: Cisco Talosの詳細レポート（IOC、TTP、検出シグネチャ等）は公開されています（Talos, 2026-02-26）です。

深掘り詳細

事実整理（Talos公開情報に基づく）

• 脅威アクター: UAT-10027。活動は2025年12月以降に開始です。
• 標的セクター: 教育・医療を主に狙い、米国での被害が報告済みです。
• 初期アクセス: フィッシング技術で誘導し、PowerShell経由で悪性バッチを取得・実行します。
• 展開手法: DLLサイドローディングを用い、バックドア「Dohdoor」を実行します。
• 実行・秘匿: 正規Windowsプロセスにペイロードを注入し、振る舞いの目立ちを抑えます。
• C2通信: DoHを利用。Cloudflareインフラを経由することでC2の所在や性質を隠蔽します。
• ステージング: 多段階での展開を取り、各段階で検出回避を意識した設計が見られます。 出典: Cisco Talos です。

インサイト（“見えない化”の仕組みと守りの盲点）

• DoHは“観測面”をずらす技術です。DNS監視のプレーンテキスト依存を外し、HTTPSの中に溶け込ませることで、「DNSの異常検知」から「HTTPSのふるまい検知」へ防御の重心を移させます。プロキシやSSL復号の方針によっては、組織のセキュリティ境界で視認性が大きく変わります。
• C2がCloudflareのような大規模インフラの背後に見える場合、IP/ASN単位のブロックは現実的でない一方、アプリケーション識別のみで“正当なWeb通信”に分類されがちです。DoHの“意図しない許可”が起きやすいのはこのためです。
• エンドポイント側では、DLLサイドローディングと正規プロセス注入の合わせ技が効きます。プロセスツリーだけを眺めると「正規親の正規子」に見え、遡及的なロードパスやメモリ保護変更（例: PAGE_EXECUTE_READWRITE）を合わせて相関しないと兆候を逃します。
• 教育・医療のネットワークは“利便性のための穴”が意識的に残されています。BYOD、研究用クラスタ、医療機器のプロキシ非対応など。Dohdoorは、こうした“意図された例外”の周縁をなぞる運用最適化型のマルウェアです。だからこそ、正面の署名・URLフィルタでは止めづらいのです。

脅威シナリオと影響

以下はTalosの公開情報を前提に、現場運用の文脈で起こり得るシナリオを仮説として整理します。各TTPはMITRE ATT&CKに沿った推定です。

• シナリオ1: フィッシングからの静かな持久侵入（教育機関）

  • 仮説フロー:
    • Spearphishingでユーザ実行を誘導（T1566.001/T1566.002, T1204）
    • PowerShellでステージャ取得（T1059.001, T1105）
    • DLLサイドローディングで正規プロセスに実行権を肩代わり（T1574.002, T1218）
    • 正規プロセスへの注入で長期潜伏（T1055）
    • C2はDoH over HTTPSで定期ポーリング（T1071.001）
    • 学内ID/研究データを段階的に持ち出し（T1041）
  • 影響: アカウント乗っ取り→LMS/研究共有の改ざん・流出→学生・研究者の二次被害。加害に転用された学内SaaSテナント経由のサプライチェーン波及も起きやすいです。

• シナリオ2: EMR/部門基幹への“踏み台”化（医療機関）

  • 仮説フロー:
    • 初期侵入〜Dohdoor確立（上記同様）
    • 標的探索・権限昇格（T1087/T1069/T1135などは可能性）
    • 医事/請求関連システムの資格情報収集（T1555/T1003は可能性）
    • 金流の改ざんまたはデータの窃取と恐喝（T1659/T1041は可能性）
  • 影響: 金銭被害＋個人情報の大量流出。対外的報告義務・監督機関対応・患者通知の負荷増で医療提供へも揺り戻しが生じます。

• シナリオ3: ランサムウェアの“前座”として機能

  • 仮説フロー:
    • Dohdoorで横展開の踏査・バックアップ把握（T1018/T1049は可能性）
    • 時機を見て別ペイロードを投入（T1105, T1204）
  • 影響: 事業継続を直撃。DoHに隠れた前段の兆候に気づけるかが、被害の規模を左右します。

総合的に見ると、この脅威は実行可能性と確度が高く、対処のタイムウィンドウも短めです。ポジティブ要素は、EDRの振る舞い相関とDoHの統制を“少し丁寧に”設計すれば、初動から検知・阻止の確率を一段引き上げられる点です。一方で、教育・医療の現場事情ゆえに“例外運用”が累積している環境では、横から抜かれる確率が上がるため、標準化と例外の棚卸しが鍵になります。

MITRE ATT&CK（推定の主なTTP）

• 初期アクセス: T1566.001/T1566.002（フィッシング系）
• 実行: T1059.001（PowerShell）, T1204（ユーザ実行）
• 実行フロー乗っ取り: T1574.002（DLLサイドローディング）, T1218（署名付きバイナリ悪用）
• 防御回避/持続: T1055（プロセス注入）
• C2: T1071.001（アプリ層プロトコル: Web/HTTPSを介したC2; DoHを内包）
• 取得・持出: T1105（ツール/ペイロード取得）, T1041（C2チャネル経由の流出）

※上記はTalosの公開要素に整合する範囲での仮説です。環境により差分が生じます。

セキュリティ担当者のアクション

優先順位と“現実にできる”粒度で整理します。

• いま直ちに（72時間以内）

  • Talos公開のIOC・シグネチャを導入し、EPP/EDR・NDR・ゲートウェイで相関検知を有効化します（Talosレポート掲載のIOCを参照ください）。
  • DoHの統制を入れます。原則「社内DNS/DoH以外は許可しない」。ファイアウォール/プロキシで主要パブリックDoHエンドポイントを暫定ブロックし、例外は申請制にします。ブラウザ（Chrome/Edge/Firefox）とOS（Windows 11以降）のDoHポリシーをGPO/MDMで強制します。
  • ハンティング即席パックを回します（EDR/Sysmonを想定）。
    • PowerShellの非常駐・隠蔽実行（-nop, -w hidden, -enc など）＋外部接続の相関
    • certutil/curl/Bitsadmin/Invoke-WebRequestの外部取得と実行の連続
    • rundll32/regsvr32/msiexec経由の不審DLLロード（ユーザ領域や一時領域、想定外パス）
    • CreateRemoteThread/WriteProcessMemory/VirtualAllocExなど注入プリミティブの連続（高感度で）
    • “ブラウザ以外のプロセス”が大手CDN/DoH様のホストへ定期的にHTTPS接続する挙動
  • メールゲートウェイと添付無害化のルールを見直します。特にLNK/ISO/OneNote/HTMLスミッシングの扱いを厳格化します。

• 1〜4週間（安定運用へ）

  • DNSアーキテクチャの再設計を開始します。分流していたDoH/DNSの経路を集約し、社内解決（オンプレ/クラウド）に固定。可視化（クエリ種別/レイテンシ/失敗率）を監視基盤に載せます。
  • “例外”の棚卸し。医療機器・研究機材・学内アプリのプロキシ/DoH非対応を洗い出し、セグメンテーション＋厳格なイグレス制御に寄せます。
  • DLLサイドローディング対策の横断見直し。アプリ配布パスの整頓、サーチパス健全化、AppLocker/WDACで署名ポリシーを適用します。
  • Purple Team演習を実施します。T1059.001（PowerShell）、T1574.002（DLLサイドローディング）、T1055（注入）、T1071.001（DoH/HTTPS C2）を最小再現し、検知の抜けと運用応答時間を計測します。

• 四半期スパン（構造的対処）

  • ブラウザ/OSのセキュリティベースラインに「DoH統制」と「私的ルートDNS排除」を標準化します。
  • 医療・教育特有の“第三者接続”に対するゼロトラスト設計（ID強制、マイクロセグメント、条件付きアクセス）を進めます。
  • サプライヤ・委託先を含む脅威インテリジェンス連携を強化し、Cloudflare等の大規模インフラ経由C2の検知ナレッジ（ホスト名、JA3/JA4指紋、パス/ヘッダ特性など）を組織横断で共有します。
  • インシデント法務・広報のプレイブックを見直し、医療・教育それぞれの規制対応（通知等）を前倒しで整備します。

最後に。今回のキャンペーンは、奇をてらうより“見えないこと”の運用価値を最大化した実直な攻撃です。防御側も、EDRの振る舞い相関とDNS/HTTPSの観測点を数歩だけ前に出すことで、十分に勝ち目が生まれます。現場の手でコントロールできるところから、粘り強く可視化を進めていきたいです。

参考情報

• Cisco Talos: 新しいDohdoorマルウェアキャンペーン（UAT-10027）（2026-02-26）: https://blog.talosintelligence.com/new-dohdoor-malware-campaign/