ここのところのサイバー脅威において、セキュリティ製品の検知を巧妙に回避するため「企業の信頼された正規インフラ」を悪用する手口が定着しつつあります。
その最たる例として、2026年6月に報告された新種のバックドアが「Backdoor.Turn(バックドア・ターン)」です。
本マルウェアは、多くの企業が日常的に利用している「Microsoft Teams」の正規の通信インフラの中に、自らの不正な遠隔操作通信を完全に潜伏させます。
防衛側には「安全なTeamsの社外通信」にしか見えないため、従来の境界防御や単純なログ監視では検知が極めて困難です。
このマルウェアはどういったものでしょうか。
- Teamsの正規「TURNリレー」機能の悪用(検知の完全回避)
最大の特徴は、攻撃者のC2サーバと直接通信するのではなく、Teamsの通信制御システムである「TURN(Traversal Using Relays around NAT)サーバ」を経由する点です。
これはTeams自体のプログラム脆弱性(欠陥)を突いたものではなく、システムの正常な仕様を悪用しています。
結果として、ファイアウォールなどのネットワーク監視層はこれを「安全なトラフィック」として処理してしまいます。 - 社内環境の「他システムの脆弱性」を突いた初期侵入と設置
本マルウェア自体がTeams経由で侵入を拡大するわけではありません。
ランサムウェア犯罪集団「DragonForce」は、ターゲット企業のネットワーク内にある「SQLデータベースサーバ等の別の既知の脆弱性」を突いて初期侵入を果たし、その足がかりをもとにBackdoor.Turnを内部へ設置・実行します。 - 防御システムを無効化する「BYOVD攻撃」の同時展開
潜伏の持続性を確実にするため、実在する正規の(しかし脆弱性を含む)サードパーティ製システムドライバーを標的システム内に意図的に持ち込み、Windowsのカーネル権限(最上位権限)を掌握する「BYOVD(Bring Your Own Vulnerable Driver)」攻撃を併用します。
これにより、導入されているセキュリティ製品の機能を根本から強制終了させます。 - 広範な内部偵察と情報窃取機能
バックドアとして確立された後は、Active Directory(ドメイン環境)の探索、ネットワークスキャン、ブラウザに保存された認証情報の窃取など、組織内部の機密情報を網羅的に調査・奪取するスパイ活動を密裏に継続します。
Backdoor.Turnの脅威の本質は、「Teams自体のセキュリティ欠陥ではなく、社内の他システムの脆弱性から侵入し、Teamsの安全な通信インフラを『隠れ蓑』として悪用して長期潜伏する」という構造にあります。
「大手クラウドサービスの通信だから安全である」という従来の信頼構造は完全に逆手に取られています。
本脅威に対抗するためには、ネットワークの接続先(ドメインやIP)の監視だけに依存せず、端末内への不審なドライバーの持ち込みやプロセスの不正挙動を即座に検知・遮断する「EDR(エンドポイント検知・対処)」の高度化、および社内サーバにおける脆弱性の徹底した管理・パッチ適用が不可欠です。
Hidden in Teams: DragonForce Attackers Weaponize Microsoft Teams Relays to Stay Hidden
https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor
| この記事をシェア |
|
|---|
