検索 CtrlK
Home / 雑記 / 米国の教育・医療機関を狙う新型バックドア「Dohdoor」― DNS-over-HTTPSで検知を回避する巧妙な攻撃手法

米国の教育・医療機関を狙う新型バックドア「Dohdoor」― DNS-over-HTTPSで検知を回避する巧妙な攻撃手法

公開: 2026-05-24 約5分 AI
米国の教育・医療機関を狙う新型バックドア「Dohdoor」― DNS-over-HTTPSで検知を回避する巧妙な攻撃手法

Cisco Talosの研究チームが、2025年12月以降、米国の教育機関および医療機関を標的とした新たな脅威活動クラスター「UAT-10027」を報告しました。この攻撃キャンペーンでは、これまで確認されていなかった「Dohdoor」と名付けられたバックドアが使用されており、DNS-over-HTTPS(DoH)技術を活用してC2通信を隠蔽するという高度な手法が特徴です。北朝鮮の関与も示唆されており、セキュリティ関係者にとって注目すべき脅威となっています。

この記事のポイント

  • 新たな脅威クラスター「UAT-10027」が米国の教育・医療セクターを標的に活動中
  • 新型バックドア「Dohdoor」はDNS-over-HTTPS(DoH)でC2通信を隠蔽し、EDR回避技術も搭載
  • 正規のWindows実行ファイルを悪用したDLLサイドローディングで感染を拡大
  • 北朝鮮のLazarusグループとの戦術的類似性が指摘されている

攻撃チェーンの全容

UAT-10027の攻撃は、ソーシャルエンジニアリングによるフィッシングを起点として開始されると推測されています。被害者がPowerShellスクリプトを実行すると、リモートのステージングサーバーからWindowsバッチスクリプトがダウンロードされます。

このバッチスクリプトは、悪意のあるDLLファイル(「propsys.dll」または「batmeter.dll」)のダウンロードを仲介します。特に注目すべきは、これらのDLLが正規のWindows実行ファイルを悪用した「DLLサイドローディング」という手法で読み込まれる点です。悪用される正規ファイルには、Fondue.exe、mblctr.exe、ScreenClippingHost.exeなどが含まれます。これらはWindowsに標準搭載されているプログラムであるため、セキュリティツールによる検知を回避しやすいという利点があります。

Dohdoorバックドアの技術的特徴

Dohdoorの最大の特徴は、C2(コマンド&コントロール)通信にDNS-over-HTTPS(DoH)を使用している点です。DoHはDNSクエリをHTTPSで暗号化するプロトコルであり、通常のネットワーク監視ではDNS通信の内容を確認できません。さらに、C2サーバーはCloudflareのインフラストラクチャ背後に隠されているため、通信トラフィックが信頼されたIPアドレスへの正規のHTTPS通信に見せかけられます。

Dohdoorはメモリ上でペイロードをリフレクティブに実行する能力を持ち、ディスクにファイルを残さないため、フォレンジック調査を困難にします。また、EDR(エンドポイント検知・対応)ツールを回避するため、Windows APIコールのユーザーモードフックを解除(アンフック)するシステムコール技術も実装されています。

次段階のペイロードとしてCobalt Strike Beaconが配信され、攻撃者に永続的なバックドアアクセスを提供します。

被害状況と標的

確認されている被害対象には、複数の教育機関(他の複数機関と接続している大学を含む)や、高齢者ケアを専門とする医療施設が含まれています。ただし、現時点ではデータの窃取(エクスフィルトレーション)の証拠は確認されていません。

教育機関や医療機関は、機密性の高い個人情報や研究データを大量に保有している一方で、サイバーセキュリティへの投資が十分でない場合が多く、攻撃者にとって魅力的な標的となっています。

北朝鮮との関連性

Cisco Talosの研究者は、UAT-10027の戦術が北朝鮮のLazarusグループに帰属される「LazarLoader」と類似していることを指摘しています。ただし、Lazarusグループが通常標的とする暗号通貨関連企業や防衛産業とは被害者の傾向が異なります。

研究者は「北朝鮮のAPTアクターは、Mauriランサムウェアを使用して医療機関を標的にしたことがあり、Kimsukyは教育セクターを標的にしていた」と述べ、パターンの違いはあるものの北朝鮮の関与の可能性を示唆しています。

知っておくと便利なTips

  • DNS-over-HTTPS(DoH)を悪用した通信は通常のネットワーク監視では検知が難しいため、DoHトラフィックの可視化・制御ポリシーの導入を検討すべきです
  • DLLサイドローディング対策として、正規のWindows実行ファイルが想定外のディレクトリから起動されていないか監視することが有効です
  • EDRのユーザーモードフック解除を検知するために、カーネルレベルでの監視機能を持つセキュリティソリューションの導入を推奨します
  • Cobalt Strike Beaconの通信パターン(ビーコン間隔、JA3/JA3Sフィンガープリント等)を把握しておくと、検知に役立ちます

まとめ

UAT-10027による攻撃キャンペーンは、DNS-over-HTTPSの悪用、DLLサイドローディング、EDR回避技術など、複数の高度な手法を組み合わせた巧妙な脅威です。特に米国の教育・医療機関が標的となっていますが、同様の手法は他の地域や業界に対しても応用される可能性があります。北朝鮮のLazarusグループとの戦術的類似性も報告されており、国家支援型の脅威アクターが関与している可能性も否定できません。組織のセキュリティ担当者は、DoH通信の監視強化やDLLサイドローディングの検知メカニズムの導入など、多層的な防御策の実装を検討すべきでしょう。

📎 元記事: https://thehackernews.com/2026/02/uat-10027-targets-us-education-and.html

関連記事

関連記事

「Claude」「Gemini」「ChatGPT」「Copilot」――性格の異なるAIを使い分ける人が勝つ時代
2026-05-23
CLAUDE.mdが台無しに?AIコーディングを劣化させる4つのミスと修正法
2026-05-18
Swift 6でAIアプリを磨き上げる:キーボード回避とアクセシビリティの極意
2026-05-04
AIに振り回されない人の共通点|評価される「たたき台」を生むプロンプト設計術
2026-04-21