Broadcom傘下のSymantecとCarbon Blackの脅威調査チームは2026年3月、イラン系APT Seedwormによる最近のサイバー活動をまとめ、米国企業や関連組織のネットワーク上で不審な活動を確認したと公表しました。活動は2026年2月に始まり、米国とイスラエルによるイランへの軍事行動後も継続しているとされています。対象には米国の銀行、空港、米国とカナダの非営利団体、そして防衛・航空宇宙分野に関わる米国ソフトウェア企業のイスラエル拠点が含まれます。
何が起きたか
今回の公表で最も重要なのは、攻撃が軍事的な緊張の発生後に始まったのではなく、その前からすでに米国やイスラエル関連のネットワークに足場を築いていた可能性が高い点です。Symantecの分析を引用した報道では、Seedwormは2026年2月初旬から侵入活動を進めており、最近の中東情勢の激化後も活動が続いていました。研究者は、すでに米国やイスラエルのネットワーク内に存在していたこと自体が、今後の攻撃実行において危険な位置にあると評価しています。
攻撃対象
確認された標的はかなり幅広く、金融、航空、非営利、ソフトウェア供給網にまたがっています。具体的には、米国の銀行、米国の空港、米国とカナダの非営利団体、防衛・航空宇宙産業に製品を供給する米国ソフトウェア企業のイスラエル拠点が挙げられています。防衛・航空宇宙向けソフトウェア企業のイスラエル拠点が狙われた点は、単純な米国企業攻撃ではなく、米国とイスラエル双方の戦略的接点を意識した標的選定と見るべきです。
新たに確認されたマルウェア
今回の活動では、DindoorとFakesetという2種類のバックドアが確認されました。Dindoorは新たに確認されたバックドアで、Denoランタイムを利用してJavaScriptやTypeScript系のペイロードを実行する点が特徴です。このDindoorは、標的となったソフトウェア企業のイスラエル拠点に加え、米国の銀行とカナダの非営利団体でも確認されました。
一方のFakesetはPythonベースのバックドアで、米国の空港と非営利団体で確認されました。配布元としてBackblazeのクラウドストレージサーバーが使われていたとされ、署名証明書にはAmy CherneとDonald Gayの名義が使われていました。Donald Gay名義の証明書は、過去にSeedwormと関連付けられたStagecompやDarkcompでも使われていたと報じられており、今回の活動と既知のSeedworm系ツール群とのつながりを補強しています。
情報窃取の兆候
Symantec側の調査では、防衛・航空宇宙分野向けソフトウェア企業に対し、Rcloneを使ってWasabiのクラウドストレージバケットへデータを持ち出そうとした痕跡も確認されています。現時点で持ち出しが成功したかどうかは不明ですが、今回の活動が単なる足場確保ではなく、情報窃取を伴う諜報活動だった可能性を強く示しています。
Seedwormとは何者か
SeedwormはMuddyWater、Static Kitten、Temp Zagros、Mango Sandstormなどの別名でも知られるイラン系APTで、米国政府は過去にイラン情報省MOISとの関連を指摘しています。近年は政府、通信、重要インフラ分野に対する諜報活動で知られていますが、今回の事案では銀行や空港といった民間分野に加え、防衛産業のサプライチェーンに位置するソフトウェア企業も標的に含まれていました。これは、従来の政府・通信中心から、より広い戦略産業へ対象が広がっていることを示しています。
出典
Seedworm: Iranian APT on Networks of U.S. Bank, Airport, Software Company
関連記事
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
国家支援 ハッカーがサイバー攻撃に「ClickFix」を採用-新たなソーシャルエンジニアリング 手法の解説
ClickFix(クリックフィックス)とは?特徴や攻撃の流れ 対策を解説
Notionの危険性と情報漏洩しない為の対策
ランサムウェア 攻撃 グループが Google Chrome に保存されたパスワードを盗む
RansomHubがカスペルスキーのツールを悪用してEDRの検出を回避する
ロシア系ハッカーが世界中のBlender ユーザーを標的としたサイバー攻撃 キャンペーンを展開
VS Codeの拡張機能を悪用する画面キャプチャ型 マルウェア「Bitcoin Black」「Codo AI」
圧縮・解凍ソフトのWinRAR、修正済みの脆弱性がサイバー攻撃へ悪用(CVE-2025-8088)
