暗いデータセンターでうなりを上げるサーバー群、盗まれた認証情報の幽霊のようなささやき。
これが2025年9月以降、多くのロシア組織の現実だ。親ウクライナのハクティビスト集団PhantomCoreの執拗な攻撃によるものだ。Positive Technologiesが詳細に解明したところ、このグループ——Fairy TricksterやHead Mareなどの別名も持つ——はTrueConfビデオ会議ソフトを動かすサーバーを執拗に狙っている。目を引くのは標的だけでなく、技術的な洗練ぶりだ。3つの別個の脆弱性を組み合わせたエクスプロイトチェーンで、脆弱なシステム上でリモートコマンド実行を実現している。
ただの覗き見じゃない。スクリプトキディの遊び場でもない。「公開されているエクスプロイトがないにもかかわらず、PhantomCoreの攻撃者らは独自に研究を重ね脆弱性を再現し、ロシア組織で多数の事例を生み出した」と、研究者のDaniil GrigoryanとGeorgy Khandozhkoが指摘する。これは専用の研究開発努力を示す。ゼロデイ——あるいは少なくとも未公開の脆弱性チェーン——を見つけ、武器化するコミットメントだ。セキュリティコミュニティが気づく前に。
PhantomCoreは2022年から活動中だ。動機は二重だ:ロシア・ウクライナ戦争の文脈で政治的なのは明らかだが、金銭的な側面もある。手口は敏感データの窃取とネットワーク運用妨害が定番。一部ではBabukやLockBitの漏洩ソースコードを活用したランサムウェアも。Positive Technologiesは2025年9月に「大規模作戦を展開しつつ、強力なステルス性を保つ——被害ネットワーク内で長期間姿を隠す——自社攻撃ツールの継続更新と進化で実現」と報告した。このステルス性と適応力は、防御側から見て正直、恐ろしい。
技術的KO:TrueConf脆弱性の解体
Positive Technologiesが明らかにしたPhantomCoreの悪用脆弱性は、侵入の仕組みを明確に示す。
- BDU:2025-10114 (CVSSスコア: 7.5):アクセス制御の不備だ。簡単に言うと、認証をバイパスして/admin/*以下の管理エンドポイントに無検証でアクセス可能。ID提示なしで警備施設の正面玄関をくぐるようなものだ。
- BDU:2025-10115 (CVSSスコア: 7.5):初回侵入後、システム上の任意ファイル読み取りが可能に。機密設定ファイル、ユーザー情報、知的財産——すべて丸裸だ。
- BDU:2025-10116 (CVSSスコア: 9.8):これが大物。コマンドインジェクション脆弱性でCVSS 9.8のクリティカル。任意のOSコマンド注入・実行が可能。ここで偵察から完全制御へシフトする。
これら3つを連鎖させると、攻撃者にとってゴールデンチケットだ。認証バイパス、無許可アクセス、そしてcompromizedサーバーへの直接コマンド発行が可能。TrueConfは2025年8月27日にパッチを公開したが、初観測攻撃は9月中旬頃。つまり3週間の窓は、巧みなアクターには足場構築の十分な時間だ。
ビデオ会議からネットワークの踏み台へ
TrueConf Serverに侵入したら、PhantomCoreは手をこまねかない。サーバーを発射台に内部ネットワークを横断し、偵察・回避・認証情報収集用の悪意ペイロードを落とす。トンネリングツールでトラフィックを隠す永続通信チャネルも構築だ。
よく見る手口はPHPベースのウェブシェル展開。この悪意スクリプトで感染ホストにファイルアップロード、リモートコマンド実行が可能。伴うPHPファイルはプロキシサーバー役で、後続の悪意リクエストをネットワーク内の正当サーバー発のように偽装。検知を大幅に遅らせる巧みなミスリードだ。
PhantomCoreのツールキットは独自開発と公開ツールのミックスだ。カスタムTrueConfビデオ会議クライアントPhantomPxPigeonを展開し、リバースシェルを実装。リモートサーバーに接続、タスク受信、コマンド実行、ウェブシェル経由トラフィックプロキシが可能。他の永続化ツールにPhantomSscp (DLL)、MacTunnelRat (PowerShell)、PhantomProxyLite (PowerShell) でリバースSSHトンネル作成。偵察はADRecon、認証収集はVeeam-Get-Creds (Veeamバックアップ対象の改変スクリプト)、DumpIt、MemProcFS。横移動はWindows Remote Management (WinRM)、Remote Desktop Protocol (RDP)、広範リモートアクセスにVelociraptor。C2はmicrosocks, rsocx, tsocksでSOCKSプロキシ経由のホスト管理だ。
一部侵入では、compromizedサーバーに「TrueConf2」なる不正管理者ユーザを作成し、特権昇格。標的環境に深く食い込む意図が如実に表れている。
フィッシング:変わらぬ侵入口
TrueConfエクスプロイトチェーンが主要ベクターとはいえ、PhantomCoreは伝統的手法も捨てていない。2026年1〜2月でも、ロシア組織へのフィッシングで初回アクセスを獲得。ZIPやRARアーカイブに仕込んだバックドアでリモートコマンド実行、任意ペイロード配信が可能だ。ゼロデイ悪用と社会工学のハイブリッドアプローチだ。
計算された脅威環境
「PhantomCoreはロシア脅威環境で最も活発なグループの一つだ」とPositive Technologies研究者は結論づける。「公開ツール (Velociraptor, Memprocfs, Dokan, DumpIt) と独自ツール (MacTunnelRAT, PhantomSscp, PhantomProxyLite) の両方を揃え、政府・民間組織を幅広い業種で標的にする。」端のグループじゃない。ロシアサイバー脅威環境を積極的に形作る主要プレーヤーだ。
戦略的焦点も明確:「PhantomCoreは国産ソフトの脆弱性を積極探し、エクスプロイトを開発し、ロシア企業多数への侵入能力を獲得する。」これが鍵で、しかも警戒すべきトレンドだ:国産ソフトエコシステムを狙い、国家レベルのサイバー目標を達成する計算ずくの戦略。放置すればロシア国内はもちろん、国境を越えたネットワークセキュリティに深刻な影響を及ぼす。
TrueConfは体系的リスクか?
PhantomCoreによるTrueConf悪用は、国産ロシアソフトのセキュリティ姿勢に大きな疑問を投げかける。パッチは出たが、発見から悪用までが広範パッチング前に起きた事実は、こうしたソフト依存組織にとってクリティカルだ。脆弱性発見とパッチデプロイの競争は永遠で、不均衡な戦い。新規エクスプロイトチェーンや新欠陥でパッチ済みすら再脆弱化する攻撃技法の進化を物語る。この事件は、単一ソフトのセキュリティが開発ライフサイクルの最弱環とユーザー更新の勤勉さに懸かっている強烈なリマインダーだ。
重要インフラへの示唆は?
ロシアの重要インフラ運用組織にとって、これは単なるニュースじゃない。真っ赤な警告灯だ。TrueConfのようなエンタープライズ通信プラットフォームは内部機密通信を扱う。適切なセグメンテーションとアクセス制御が甘ければ、OTネットワークや他クリティカルシステムへの直通ゲートウェイになる。PhantomCoreのTrueConfサーバー侵入後の永続化・横移動能力は、多くの組織が高度永続脅威 (APT) に不十分な防御しか持たないことを示唆する。カスタムマルウェア展開、不正管理者アカウント作成、巧妙トンネリングは、長期間検知逃れの能力を物語る。脅威ハンティング強化、インシデント対応計画、侵害前提のプロアクティブセキュリティ姿勢が急務だ。
