Zoho WorkDrive悪用とUSBで空隙突破──ScarCruft「Ruby Jumper」が示した分離防御の盲点です

今日の深掘りポイント

• 正規クラウド（Zoho WorkDrive）をC2に転用し、プロキシやSSL検査をすり抜ける設計が核です。許可SaaSに偽装した持続的C2は、従来型のブロックリスト運用を無力化します。
• LNK→PowerShell→多段ペイロードの古典的チェーンを最新のクラウド悪用で“現代化”。検知を阻むのは新種のエクスプロイトではなく、正規基盤の巧妙な使い方です。
• USB媒介でエアギャップへ侵入・持ち出し。分離ネットのリスクは“物理メディアに集約”されることを改めて突きつけます。
• SOCに求められるのは「サービス単位の振る舞い基準化」と「転送ステーションのゼロトラスト化」。個別IOC待ちでは間に合わない局面です。
• 緊急度と模倣可能性が高く、短期はハンティングと制御の即応、長期は正規SaaS濫用を前提にしたEgress/USBガバナンスへの再設計が鍵です。

はじめに

北朝鮮系とされるScarCruftが、新キャンペーン「Ruby Jumper」でZoho WorkDriveをC2に用い、LNKを起点としたPowerShellの多段展開、さらにUSBマルウェアでエアギャップを跨ぐ手口を組み合わせています。報道ではRESTLEAFと呼ばれるペイロードがWorkDriveを介してコマンド取得・結果回収を行い、THUMBSBDやVIRUSTASKといったモジュールが関与することが示されています。正規サービス濫用×リムーバブル媒介という二つの“定番”を、現在の企業IT/SaaS運用の盲点に精密に合わせ込んできた点が本件の本質です。

本稿では、確認された事実と編集部の見立てを分けて整理し、MITRE ATT&CKの観点で想定シナリオを解剖。現場が今日から打てる手を具体化します。数値スコアが示すのは「珍しさと即応性の両立」。すなわち“今すぐ検知運用をチューニングし、次の模倣波に備えよ”というサインです。

深掘り詳細

事実整理（公開情報ベース）

• 初期侵入は悪意のあるLNKファイルをユーザーが開く行為から開始。ショートカット実行時にPowerShellコマンドが起動し、複数のペイロードを段階的に取得・配置します。
• RESTLEAFと呼ばれるコンポーネントがZoho WorkDriveをC2基盤として悪用。コマンド取得・結果のアップロードを正規クラウドのHTTP(S)通信で偽装します。
• エアギャップ環境への侵入・持ち出しにはUSB媒介のマルウェアが使われ、隔離ネットの情報窃取や後続操作の糸口となる設計です。
• キャンペーン名は「Ruby Jumper」。複数のマルウェアファミリー（THUMBSBD、VIRUSTASK等）が役割分担して行動し、標的ホストの監視・持続化・横断を担います。
• 出典: The Hacker Newsの報道 です。

編集部のインサイト（仮説を明示）

• なぜZoho WorkDriveか
  • 仮説: OneDrive/Google Driveに比べ、企業の許可SaaSリストに入っていても細粒度の監視・制御が未整備なケースがあり、目立ちにくいと判断した可能性があります。正規SaaSの共有リンクやAPIを用いるC2は、SNI/ドメインベース制御やレピュテーション頼みのプロキシを素通りし、TLS終端の内側でしか見えない“内容依存のC2”を形成します。
• エアギャップ突破の現実解
  • 物理分離は依然として有効ですが、実務上必要な“媒体による橋渡し”が最大の攻撃面になります。転送ステーションとUSBの衛生管理が脆ければ、分離は理念倒れになります。攻撃側はここに投資を集中させ、最短のROIで侵入・持ち出しを図っていると見ます。
• 古典×現代化の強み
  • LNKとPowerShellは目新しくない一方、EDRが避けがちな正規クラウドを背にC2を張ることで、検知の主戦場を「端末のプロセス振る舞い」から「SaaS利用の逸脱検知」へと押し込んでいます。防御側はログの見方を変えない限り追いつけません。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った想定シナリオです。実装の細部は環境に依存するため、仮説を含みます。

• シナリオ1：メール/配布経路経由での初期侵入と持続的C2

  • 初期アクセス: User Execution（LNKを含む悪性ファイルの実行, T1204.002 想定）
  • 実行: Command and Scripting Interpreter（PowerShell, T1059.001）
  • ダウンロード/設置: Ingress Tool Transfer（T1105 想定）
  • C2: Application Layer Protocol（Web/HTTPS経由のC2, T1071）, 正規Webサービス悪用（Zoho WorkDriveを媒介, T1102 想定）
  • 防御回避: Obfuscated/Compressed Files and Information（PowerShellのBase64/圧縮利用, T1027 想定）
  • 影響: 社内から見て“通常のSaaS通信”に見える持続的C2により、長期潜伏と静かな窃取が可能になります。

• シナリオ2：USBを媒介にエアギャップへ侵入・持ち出し

  • 横展開: Replication Through Removable Media（T1091）
  • ステージング: Data Staged（T1074 想定）
  • 物理媒体での持ち出し: Exfiltration Over Physical Medium（USB, T1052.001）
  • 影響: 転送ステーション/運用端末が“唯一の橋”となり、ここを押さえられるとエアギャップの実効性が大きく損なわれます。

• シナリオ3：持続化と再侵入（名称からの仮説）

  • 持続化: Scheduled Task/Job（Windows Task Scheduler, T1053.005 想定。モジュール名VIRUSTASKからの仮説であり、実装は未確認）
  • 発見回避: Signed Binary Proxy ExecutionやLOLBins（certutil/bitsadmin等, T1218/T1105の派生 想定）
  • 影響: メンテナンスウィンドウや再起動後にもC2復帰し、監視の死角で活動を継続します。

運用面での影響は三層に及びます。第一に、許可SaaSを経路とする“静音型C2”が検知KPI（真陽性率/MTTD）を悪化させます。第二に、転送ステーションとUSBのガバナンスが次のボトルネックになります。第三に、サプライチェーンや出向・委託先端末など“境界が曖昧な主体”がリスク増幅器となる点です。地政学的に見れば、情報優位と制裁回避に直結する作戦であり、戦略産業ほど粘着的な標的化を受けやすいです。

セキュリティ担当者のアクション

今日からできる“実装レベル”のテコ入れを優先度順に並べます。

• Egressの前提を変える

  • 許可SaaSのポリシーを“ドメイン許可”から“業務起点の利用正当化＋振る舞い監視”へ。CASB/SSO連携で企業テナント以外のSaaS利用を制限し、企業管理のアクセストークン以外を遮断します。
  • Zoho WorkDriveを含む正規クラウドへの通信で、非ブラウザ由来のUser-Agentや業務時間外のアクセス、サーバーセグメントからの外向きを検知対象にします。

• LNK/PowerShellのハードニング

  • メール/ゲートでのLNK添付ブロック、ZIP内LNKの展開検査を有効化します。
  • PowerShell Constrained Language Mode、Script Block Logging（Event ID 4104）、AMSI統合を必須化。encodedCommand/base64やWebClient/DownloadStringの連呼を高リスクに振ります。
  • 4688（プロセス作成）で、explorer.exe→powershell.exeへの不自然な連鎖、LNK実行直後のネットワーク接続開始を相関検知します。

• USB/転送ステーションのゼロトラスト化

  • 物理分離環境への搬入・搬出は“検疫端末（転送ステーション）”を単一経路に強制し、ここでのCDR・マルチAV・YARAスキャン・LNK実行禁止を徹底します。
  • 端末側はデバイス制御でUSB記憶域を許可リスト方式に。AutoRun/AutoPlayは無効化し、USB上の隠し属性ファイル生成を監視します。
  • エアギャップ側での“持出専用USB”と“持込専用USB”の物理分離、媒体のローテーション管理と台帳化を行います。

• 正規SaaS悪用の検知ロジック

  • “業務で使っていないSaaSへの初見通信”を毎日レビュー。WorkDriveのような部門導入型SaaSはシャドーIT検知のプレイブックに組み込みます。
  • HTTP(S)の宛先だけではなく、オブジェクトアクセスの頻度・サイズ分布・メソッド（GET/PUT）偏重などの特徴量で“C2らしさ”を学習・監視します。

• ハンティングとIRの即応

  • 直近30～90日の範囲でLNK起点のpowershell.exe実行、powershellの外向き通信、正規クラウドへのPUT/POST連続を横断相関してサージ検出します。
  • 兆候検知時は“プロキシ遮断→端末隔離”に加え、“当該SaaSのテナント側ログ”からアクセスキーや共有リンクの濫用有無を遡及確認します。

• 教育と模擬演習

  • LNKファイルの見分け（拡張子表示、偽装アイコン）と、ZIP内ショートカットの危険性をエンドユーザー教育に含めます。
  • レッドチーム演習に「正規SaaSをC2に見立てたシナリオ」を追加し、検知・封じ込め・根絶までの所要時間を測り改善サイクルに入れます。

• ガバナンスの底上げ（中長期）

  • “許可SaaSカタログ＋テナント管理＋ログ保全”を企業全体の標準に。部門単位での勝手導入を是正し、監視・抑止の統一を図ります。
  • エアギャップ運用規程を見直し、媒体、転送経路、関与者の三点で二重化チェック（ダブルコントロール）を制度設計します。

参考情報

• The Hacker News: ScarCruft Uses Zoho WorkDrive and USB Malware to Breach Air-Gapped Networks（2026-02）: https://thehackernews.com/2026/02/scarcruft-uses-zoho-workdrive-and-usb.html

本件は“新しい脆弱性”ではなく“新しい使い方”の問題です。だからこそ、パッチでは解決しません。正規SaaSの前提とUSBの現実、二つの当たり前をもう一度定義し直すことが、最短の防御強化につながると考えます。皆さんの環境で、今日できる一手から着手してほしいです。