マイクロソフト、Windowsのゼロデイハッキングをオーストリアのスパイウェアメーカーと関連付け

マイクロソフトは、欧州と中米の組織を標的とした複数の Windows および Adob​​e ゼロデイ脆弱性の悪用が、あまり知られていないオーストリアのスパイウェア製造業者によるものだと指摘した。

このテクノロジー大手の脅威インテリジェンスおよびセキュリティ対応部門は、複数のサイバー攻撃を「ノットウィード」と呼ばれる脅威アクターと関連付けました。このアクターは、ウィーンに拠点を置く情報収集会社、Decision Supporting Information Research Forensic（DSIRF）としてよく知られています。DSIRFのウェブサイトによると、同社は2016年に設立されましたが、20年以上にわたり「テクノロジー、小売、エネルギー、金融分野の多国籍企業にデータ主導型のインテリジェンスを提供」してきた実績があり、さらにレッドチームテスト（製品テスト中にハッカーにセキュリティ上の脆弱性を発見・悪用する許可を与えるテスト）も提供していると主張しています。

マイクロソフトは水曜日に発表した報告書の中で、Knotweedは少なくとも2020年から活動しており、「Subzero」と呼ばれるスパイウェアを開発していると述べた。このスパイウェアは、顧客がリモートから、そして密かに被害者のコンピューター、電話、ネットワークインフラ、そしてインターネット接続デバイスに侵入することを可能にする。Subzeroは、NSO GroupのPegasusやCandiruのDevilsTongueスパイウェアと機能的に類似しており、政府機関がジャーナリスト、活動家、人権擁護活動家を監視するためによく利用されている。

Netzpolitikが2021年に公開した内部資料のコピーによると、DSIRFはSubzeroを「次世代サイバー戦争」ツールとして宣伝しており、標的のPCを完全に制御し、パスワードを盗み、リアルタイムの位置情報を明らかにすることができるとされています。報告書によると、ロシア政府とのつながりが指摘されているDSIRFは、2016年の米国大統領選挙中にこのツールの使用を宣伝していました。また、ドイツも警察と諜報機関向けにSubzeroの購入と使用を検討していたとされています。

マイクロソフトは、DSIRF（別名Knotweed）がSubzeroマルウェアを販売しているだけでなく、一部の攻撃で独自のインフラストラクチャを使用しているのが確認され、オーストリア、パナマ、イギリスの既知の被害者を含む法律事務所、銀行、戦略コンサルタント会社を含む被害者の標的化により直接的に関与していることを示唆していると指摘している。

しかし、このテクノロジー大手は、サブゼロの標的となった被害者に対し、「レッドチーム演習や侵入テストを依頼したことはなかった」こと、そしてその活動は無許可かつ悪意のあるものであることを確認したと述べた。

報告書によると、SubzeroはWindowsとAdobeの複数のゼロデイ脆弱性を含む、複数の経路で拡散している。これには、最近修正されたCVE-2022-22047脆弱性が含まれる。これはWindowsクライアントサーバーランタイムサブシステム（CSRSS）のバグであり、ログインユーザーよりも高いレベルのアクセス権を被害者のデバイスに取得できる可能性がある。Microsoftは、2021年以降、DSIRFが利用した少なくとも4つのゼロデイ脆弱性を修正したと述べている。

テッククランチイベント

サンフランシスコ | 2025年10月27日～29日

KnotweedはExcel文書にも悪意のあるマクロを埋め込み、ミームに偽装した一見普通のファイルに見えるものの「異常に大きい」JPEG画像の中に第二段階のマルウェアを隠していました。マクロは、悪意のある攻撃者がマルウェアやランサムウェアを展開するためにアクセスを取得する際によく使用される手段ですが、最近MicrosoftによってOfficeアプリでデフォルトでブロックされました。

DSIRFの代表者は電話で連絡を取ったところ、Microsoftの報告に対する回答をTechCrunchに提供すると述べたが、記事掲載時点では回答は提供されなかった。

これらの攻撃から防御するために、Microsoft は組織に対し、CVE-2022-22047 にパッチを適用し、ウイルス対策ソフトウェアを最新の状態に保ち、多要素認証を有効にすることを推奨しています。

このテクノロジー大手はまた、スパイウェア製造業者に対するさらなる措置を要求し、DSIRF が明るみに出る最後のサイバー傭兵ではないだろうと警告している。

「（民間セクターの攻撃者が）法の支配や人権規範に反する行動をとる独裁政権にツールを販売し、人権擁護活動家、ジャーナリスト、反体制派、その他市民社会の関係者を標的にしているケースが増えています」と、マイクロソフトのデジタルセキュリティ部門ゼネラルマネージャー、クリス・グッドウィン氏は述べています。 「監視技術の不道徳な使用によって私たち全員が直面するリスクと侵害に議会が注目していることを歓迎します。米国および世界各地で、監視技術の使用を制限する規制の導入を強く求めます。」

ルナ・サンドヴィック氏の新しいスタートアップ企業「グラニット」は、ハッカーや国家から危険にさらされている人々を守る。