DragonForce ランサムウェアがMicrosoft TeamsのTURNリレーをサイバー攻撃に悪用

セキュリティ企業Symantec（Broadcom傘下）のThreat Hunter Teamは2026年6月16日、公式技術分析で、ランサムウェアグループ「DragonForce」が米国の大手サービス企業への攻撃において、Go言語製の新種バックドア「Backdoor.Turn」を使い、コマンド＆コントロール（C2）通信をMicrosoft Teamsのリレー基盤の内部に隠蔽していたことを発表しました。

Backdoor.Turnは、Microsoft TeamsがNAT越えのために使用する「TURN（Traversal Using Relays around NAT）」プロトコルを悪用し、Skype系の認証サービスから匿名のTeams訪問者トークンを取得、正規のMicrosoft運用TURNリレーサーバーを経由して接続を確立した後、攻撃者の実際のC2サーバーへ直接QUICセッションを確立する仕組みです。

これにより、防御側のネットワーク監視には「Microsoft Teamsへの正規の外向き通信」としか見えず、攻撃者は被害組織のネットワーク内に1〜2か月間潜伏し続けることができました。Symantecは「これは我々の知る限り、TURNリレー基盤がこのように悪用された初の野生での事例」と明記しています。攻撃には4種類の脆弱な署名済みドライバを悪用するBYOVD（Bring Your Own Vulnerable Driver）手法も併用されており、その一つはHuaweiのドライバを使った全く新しい手口でした。本記事ではSymantecの一次技術分析をもとに、攻撃の全容・Backdoor.Turnの技術的詳細・IOC・対応手順を解説します。

サマリー

• 発表日：2026年6月16日（Symantec・Carbon Black Threat Hunter Team）
• 攻撃グループ：DragonForce（Symantecの内部呼称：Hackledorb）。2023年6月から活動。ランサムウェア・アズ・ア・サービス（RaaS）からカルテル型組織構造へ進化。悪名高いScattered Spiderとの関連が指摘される
• 被害組織：「米国の大手サービス企業」（社名非公開）
• 侵害期間：1〜2か月。活動開始は2025年12月
• 侵入経路（推定）：SQLまたはMSSQLサーバーの脆弱性悪用。アクセスブローカーからのアクセス購入の可能性も
• 最大の発見「Backdoor.Turn」：Go言語製の新種RAT。正規のDbgView64.exeプロセスに注入され隠蔽される
• TURN悪用の仕組み：①Skype系認証サービスから匿名Teams訪問者トークンを取得→②正規のMicrosoft運用TURNリレーサーバーで接続セットアップ→③攻撃者の実際のC2サーバーへ直接QUICセッションを確立
• Symantecの評価：「この特定の技術を使った最初の既知のマルウェア・グループの事例」
• 元ネタとなった研究：Praetorianが2025年Black Hatで発表した「Ghost Calls」——TeamsやZoomの一時的なTURN認証情報をハイジャックし、信頼された会議基盤を通じてステルス通信トンネルを作成する手法
• Backdoor.Turnの機能：コマンド実行・プロセス作成・ネットワークスキャン・TLS証明書収集・Webサイトタイトル収集・LDAP/Active Directory検索・ブラウザ認証情報窃取・認証情報を使ったラテラルムーブメント
• 配置のタイミング：ランサムウェア実行後にインストール——持続的アクセス・将来的な再侵入・他の犯罪者グループへの転売目的の可能性
• BYOVD（4種類の脆弱ドライバ悪用）：
  • 新発見の「Havoc Process Terminator」：HuaweiのHWAuidoOs2Ec.sysを悪用するカスタム技術
  • CVE-2023-52271：Topaz Antifraudのwsftprm.sys
  • CVE-2025-61155：Tower of FantasyのGamedriverx64.sys
  • CVE-2025-1055：K7 Security Anti-MalwareのK7RKScan.sys
• カスタム悪意ドライバ「Abyss Worker」：Palo Altoの正規ドライバを偽装した、BYOVDの定義に厳密には当たらない自作の悪意あるドライバ
• 永続化のための設定変更：LimitBlankPassword設定・ユーザー/グループの追加・ファイアウォール規則の変更
• 発表予定：Symantec/Carbon BlackのThibaut Passilly氏が2026年6月18日、スイス・チューリッヒのArea41カンファレンスで本件を発表予定

攻撃チェーンの全容

Symantecの技術分析が示す攻撃チェーンは以下のとおりです。

Stage 1：初期侵入とDLLサイドローディング

攻撃者はSQLまたはMSSQLサーバーの脆弱性を悪用して被害ネットワークへの侵入を果たしたと見られています（具体的な脆弱性は不明）。Symantecは「攻撃者がアクセスブローカーからアクセスを購入した可能性もある」と指摘しています。活動の開始は2025年12月でした。

侵入後、攻撃者は正規のVirtualBox/DbgView実行ファイルと、サイドロードされることを意図した悪意あるDLLを含むZIPアーカイブをダウンロードしました。実行されると、悪意あるvboxrt.dllが複数のサーバーリストからコードをダウンロードし、アクセスの確保・偵察・検知回避など多目的に使用されます。

Stage 2：永続化とDLLハイジャック

攻撃者は持続性・耐久性を確保するため、以下の具体的なシステム設定変更を実施しました。

• LimitBlankPasswordを使用し、侵害したマシンへの容易なアクセスを可能にする設定
• ユーザー/グループの追加による別経路のアクセス手段の確保
• リモートアクセスを容易にし、C2通信を妨げないファイアウォール規則の変更

さらに攻撃者はVirtualBoxアプリケーションに対するDLLハイジャックを武器化しました。正規の署名済み実行ファイルに悪意あるDLLを強制的にロードさせることで、セキュリティ監視を回避しつつ、信頼されたVirtualBoxプロセスの高い権限でコード実行を達成しています。

Stage 3：BYOVDによる防御回避（4種類の脆弱ドライバ）

攻撃グループは、正規の署名済みドライバの既知脆弱性を悪用してカーネルレベルのアクセスを獲得し、セキュリティプロセスを終了させるBYOVD（Bring Your Own Vulnerable Driver）戦略を多用しました。

①「Havoc Process Terminator」（新発見）：HuaweiのHWAuidoOs2Ec.sysを悪用するカスタム技術。このドライバが野生でこのように悪用されることは、今回の攻撃以前には知られていませんでした。脆弱性自体はHuntressの研究者が2026年3月に文書化していましたが、それは今回の攻撃が発生した後のことでした。

②CVE-2023-52271：Topaz Antifraudのwsftprm.sysの悪用

③CVE-2025-61155：Tower of Fantasy（ゲーム）のGamedriverx64.sysの悪用

④CVE-2025-1055：K7 Security Anti-MalwareのK7RKScan.sysの悪用

さらに攻撃者は**「Abyss Worker」**という、Palo Altoの正規ドライバを偽装したカスタム製の悪意あるドライバも使用しています。これは厳密にはBYOVD（正規ドライバの脆弱性悪用）の定義には当たらない、完全に自作された悪意あるドライバです。Symantecは「攻撃者がこの種のドライバを使用するのは比較的珍しく、多くの攻撃者は従来型のBYOVDアプローチ（正規ドライバの脆弱性悪用）に固執する」と指摘しています。

Stage 4：ランサムウェアの展開とBackdoor.Turnの設置

偵察・防御回避を完了した後、グループはDragonForceランサムウェアペイロードを展開し、データを窃取してから被害マシンを暗号化しました。

注目すべき点は、Backdoor.Turnがランサムウェア実行後にインストールされていることです。これはSymantecの分析によれば、攻撃者がこのバックドアを「持続的なアクセスの維持」「将来的な再侵入の促進」「他の悪意あるアクターへのアクセス転売」のために使用している可能性を示唆します。

Backdoor.Turnとは

TURNプロトコルとは

TURN（Traversal Using Relays around NAT）は、NAT（ネットワークアドレス変換）の背後にあるクライアント同士が直接接続できない場合に、中継サーバーを介して通信を成立させるためのプロトコルです。Microsoft Teamsは、プライベートネットワーク上のクライアントへメッセージを配信する際にこの仕組みを利用しています。

Backdoor.Turnの動作

Backdoor.Turnは検知回避のため、正規の**DbgView64.exeプロセスに注入**される形で実行されます。その後の動作は以下のとおりです。

1. Microsoft Teams/Skypeバックエンドから匿名の訪問者トークンを要求
2. このトークンを使ってTeams関連基盤（TURNリレー）とやり取りを開始
3. 正規のMicrosoftサーバーをTURNリレーサーバーとして利用し、接続をセットアップ
4. リレー支援によるセットアップ完了後、攻撃者の実際のC2サーバーへ直接QUICセッションを確立

防御側のネットワーク監視からは、この一連の通信は「Microsoft Teamsの正規サーバーへの外向き接続」としか見えません。これがBackdoor.Turnの隠蔽能力の核心です。

元ネタとなった「Ghost Calls」研究

Symantecによれば、この手法は2025年のBlack Hatでセキュリティ企業Praetorianが発表した「Ghost Calls」という研究に着想を得ています。Ghost Callsは、TeamsやZoomの一時的なTURN認証情報をハイジャックすることで、信頼されたWeb会議基盤を通じたステルス性の高い通信トンネルを構築できることを示した概念実証（PoC）研究でした。

Ghost Callsは2025年に概念を実証したものでしたが、Backdoor.Turnは実際にこの手法を使ってC2通信を行った、野生で初めて確認されたマルウェアです。 Symantecは「これは特定の技術を使用した最初の既知のマルウェアまたはグループの事例」と明記しています。

Backdoor.Turnの機能一覧

DragonForceとは—カルテル型組織への進化

DragonForceは少なくとも2023年6月から活動しているランサムウェアグループで、Symantecは内部で「Hackledorb」として追跡しています。

DragonForceは標準的なRaaS（Ransomware as a Service）モデルから、高度に組織化された「カルテル型」構造へと移行しています。これは組織的成熟度の高さ・大規模なリソース配分・高インパクトな標的型キャンペーンへの戦略的フォーカスを示唆しています。

DragonForceは悪名高い脅威グループ「Scattered Spider」とのつながりも指摘されており、Symantecは「Backdoor.Turnの展開と、複数手法を組み合わせたBYOVD回避を合わせ、現在活動している中で最も高度かつ持続性の高いランサムウェアグループの一つ」と評価しています。

IOC（侵害の痕跡）

Symantecが公開した主なファイルハッシュ（SHA-256）は以下のとおりです。

対応手順

① EDR/SIEMでのプロセス・ネットワーク異常の監視

GBHackersが推奨する通り、プロセスの親子関係（プロセスアンセストリ）とネットワーク接続の両方を可視化できるEDRソリューションが極めて重要です。アナリストは以下のパターンを監視してください。

• Teamsクライアントに注入されるプロセス
• Teamsのリレープロトコルに似ているが、予期しないソースから発信されているネットワーク接続
• 正規プロセス（DbgView64.exe等）からの異常な通信パターン

② 上記IOCハッシュのブロック・検知ルールへの追加

公開されているSHA-256ハッシュをSIEM・EDR・脅威インテリジェンスフィードに統合してください。

③ 脆弱ドライバの確認

自社環境に以下のドライバが存在しないか確認し、存在する場合は最新版へのアップデートまたは削除を検討してください。

• Huawei HWAuidoOs2Ec.sys
• Topaz Antifraud wsftprm.sys（CVE-2023-52271）
• Tower of Fantasy Gamedriverx64.sys（CVE-2025-61155）
• K7 Security Anti-Malware K7RKScan.sys（CVE-2025-1055）

④ SQL/MSSQLサーバーの脆弱性管理の強化

侵入の起点として疑われるSQL/MSSQLサーバーについて、パッチ適用状況の確認・公開状況の見直し・アクセス制限の強化を実施してください。

⑤ Microsoft Teams通信の異常検知の検討

Microsoft Teamsへの通信は通常「信頼された通信」として扱われがちですが、今回の事案はこの前提自体への警戒が必要であることを示しています。Teams関連の通信量・接続先・タイミングにおける異常パターンの検知を、ネットワーク監視の一環として検討してください。

情報システム担当者への教訓—「信頼された基盤」を疑う時代へ

今回のBackdoor.Turnが示す最大の教訓は、Microsoft・Zoom等の信頼された企業向けクラウドサービスのインフラそのものが、攻撃者にとって理想的な隠蔽手段になりうるという現実です。

cybersecuritynews.comが指摘する通り、「Living off the Land（環境寄生型）」技術や信頼されたクラウドサービスの悪用は、攻撃者にとって独自インフラの維持コストを削減し、法執行機関による摘発リスクを下げる効果があります。今後、同様の手法を使った攻撃が他のランサムウェアグループにも広がる可能性があります。

組織としては、「Microsoft Teamsへの通信だから安全」という単純な前提を見直し、通信の宛先・パターン・タイミングまで含めた多層的な監視体制を構築することが求められます。

参考情報

• Symantec/Security.com「Hidden in Teams: DragonForce Attackers Weaponize Microsoft Teams Relays to Stay Hidden」（2026年6月16日）
• The Register「Crooks found a new way to collaborate using Teams – by hiding command-and-control traffic」（2026年6月16日）
• Help Net Security「Cybercriminals mask malicious communications through Microsoft Teams relays」（2026年6月16日）
• Infosecurity Magazine「DragonForce Ransomware Exploited Microsoft Teams to Hide Attack」
• GBHackers「Microsoft Teams Relay Abused by Hackers to Hide Malicious Traffic」
• Praetorian「Ghost Calls: Abusing Web Conferencing for Covert Command & Control」（Black Hat 2025発表の元ネタ研究）
• Huntress「W2 Malvertising to Kernel Mode EDR Kill」（Huawei脆弱ドライバの文書化、2026年3月）
• 当サイト関連：UNC1151/GhostwriterのGmailフィッシング——AiTM技術による信頼基盤の悪用という共通の発想
• 当サイト関連：Arch Linux AURサプライチェーン攻撃——eBPF rootkitによる検知回避という同種の高度な隠蔽技術との比較

関連記事

FIFAワールドカップ2026のファンを標的にしたサイバー攻撃/フィッシング 詐欺 キャンペーン ゴースト ランサムウェアが70ヶ国以上の組織へ不正アクセスとサイバー攻撃 Microsoft、Teamsを悪用したサポート詐欺の詳細な手口を公表 マネックス証券 創業者 松本 大 氏、エプスタイン文書への名前記載について「やましいことは一点もない」 Microsoft、2026年6月定例パッチで史上最多206件の脆弱性を修正-3件のゼロデイや危険な脆弱性含む(CVE-2026-50507,CVE-2026-45586,CVE-2026-47291,CVE-2026-49160) 偽のMac版 Microsoft Teamsがマルウェアを配信 FBI・Google・Black Lotus LabsがAI 搭載 フィッシングサービス「Outsider Enterprise」を摘発 【2026年】サイバー攻撃・情報漏洩の最新 事例 EDR 製品 比較 9選 製品タイプや導入時の注意点も解説

投稿者：三村

セキュリティ製品を手がける上場企業にて、SOC（セキュリティオペレーションセンター）運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)