サイバーセキュリティ研究者たちが、未知の攻撃者が少なくとも5ヶ月間、ある証券取引所のシニアエグゼクティブのOutlookメールボックスへのアクセスを維持していた、執拗な諜報活動キャンペーンを発見しました。SymantecとCarbon BlackのThreat Hunter Teamによって詳細が明らかにされたこの侵害は、正規のクラウドサービスを経由して、エグゼクティブのメールボックス全体をステルス的に窃取するものでした。 ### 隠密なデータ窃取 攻撃者は、トラフィックが通常のクラウド操作にシームレスに溶け込むように、メールボックスの内容を少量ずつ繰り返しコピーしました。この手法は、DropboxやOneDriveのような正規のサービスの使用と相まって、検知されずに潜伏し、攻撃の特定を困難にするための意図的な努力を強調しています。侵害されたデータの性質（非公開の上場詳細、執行案件、取引条件、市場を動かす計画などを含む可能性）は、金銭的窃盗よりも情報収集の目的を強く示唆しています。 ### 深いアクセスと不明瞭な起源 最初の悪意のある活動は2025年10月10日に観測されましたが、その時点ですでに攻撃者はエグゼクティブのマシン上でSYSTEMレベルの権限を獲得していました。彼らはAdobeのアップデーターやOneDriveになりすましたバイナリを展開しており、深い侵害を示しています。初期侵入経路は不明のままですが、Symantecは、以前に侵害されたデバイスから発生した、ネットワーク内でのラテラルムーブメントに起因する可能性が高いと示唆しています。 この作戦は11月12日にエスカレートし、攻撃者はDropbox APIトークンを取得し、`curl`を介してデータアップロードを開始しました。彼らの主な窃取ツールは、OutlookのOSTおよびPSTファイルを読み取るために使用される正規の.NETライブラリであるAspose上に構築されたカスタムメールボックススティールでした。このツールは定期的に実行され、特定の期間の新しいメールデータを抽出し、メールボックスのほぼ継続的かつ控えめなコピーを確保しました。 ### 回避戦術とツール ステルス性を維持するため、攻撃者はAdobe、Lenovo、OneDriveの正規のシステムサービスを模倣するスケジュールタスクを設定しました。OneDriveからの窃取については、DNSルックアップを回避するために、ハードコードされたMicrosoftのIPアドレスに直接接続し、ペリメーターツールが監視またはブロックする可能性のあるものを回避しました。彼らは一時的に公開ファイルホストである`temp.sh`をテストしましたが、より隠密なクラウドサービスのためにそれを放棄しました。 侵入のさらなる分析により、トラフィックのトンネリングのためのFRPC、Windows認証情報の抽出のためのSecretsdump、保存されたアプリケーションパスワードの回復のためのSharpDecryptPwd、およびWindowsユーザーアカウント制御（UAC）をバイパスするためのツールを含む、より広範なツールキットが明らかになりました。公開されているツールとコンシューマー向けクラウドサービスの使用は、これまでのところ、特定の脅威アクターグループへの決定的な帰属を防いでいます。 ### パッチを超えて：監視の必要性 このインシデントは、新しく開示された脆弱性やCVEの悪用を伴わなかったため、特に注目に値します。代わりに、これは個人のメールボックスに対する標的型侵入であり、従来のパッチ適用だけではこのような脅威を軽減できないことを強調しています。防御の負担は、堅牢な監視と迅速な対応能力に完全に移行します。 取引所、規制当局、金融機関など、市場を動かす情報を持つ組織を保護するITセキュリティ専門家にとって、警戒は最優先事項です。侵害の主な兆候には、異常なメールボックスエクスポートアクティビティ、不審なOutlookアクセスパターン、個人のDropboxまたはOneDriveアカウントへのアップロード、予期しないトンネリング、および特権ユーザーが使用するシステムでの認証情報ダンプなどが含まれます。これらの動作のプロアクティブな監視は、同様の巧妙な諜報活動の試みを検出し、阻止するために不可欠です。