高度なマルウェアとゼロデイ脆弱性を駆使したサイバー攻撃 グループ Team46の実像とは

セキュリティニュース

投稿日時: 更新日時:

高度なマルウェアとゼロデイ脆弱性を駆使したサイバー攻撃 グループ Team46の実像とは

2025年春、セキュリティ研究機関であるPositive Technologiesは、これまで個別のグループとされていた「TaxOff」と「Team46」が実質的に同一のAPT(高度で持続的な標的型攻撃)グループである可能性を示す調査結果を発表しました。

Chromeのゼロデイを突いたTeam46の攻撃

2025年3月、Team46はGoogle Chromeのゼロデイ脆弱性(CVE-2025-2783)を悪用し、国際イベント「Primakov Readings」に関連する外交・安全保障関係者を標的に攻撃を仕掛けました。

手口は極めてオーソドックスなフィッシングメールです。

イベントの招待を装い、メール内のリンクをクリックさせると、ユーザーの操作は一切なくてもマルウェアが即座に実行される仕組みとなっていました。
マルウェアに感染した端末には「Trinper」と呼ばれるバックドア型マルウェアが静かに展開されました。

Trinperとはターゲットの環境しか動かないバックドア型マルウェア

Trinperの特徴は、何より環境依存性の高さにあります。ただの情報窃取ではありません。


端末固有のUUIDやプロセス情報をもとに暗号鍵を生成し、“ターゲットの環境でしか動かない”よう設計されています。

さらに、コードの難読化や仮想環境・デバッガ検出機能も組み込まれており、分析されること自体を前提に防御設計されています。
こうなると、もはや市販のセキュリティ製品では追いつけません。これは明らかに、経験豊富な攻撃者が手間を惜しまず作り込んだマルウェアです。

TaxOff=Team46説を裏づける“4つの一致点”

Positive Technologiesは、両者の攻撃手法を丁寧に比較した結果、以下のような一致点を明らかにしました:

  • PowerShellスクリプトの命名ルールが酷似

  • ローダーの構造や暗号化アルゴリズムに共通性

  • 使用されたマルウェアがTrinperやDanteなどで重複

  • C2サーバーのドメイン命名規則が非常に似ている

Positive TechnologiesはグループのTTP(戦術・技術・手順)レベルでここまで一致するとなると、「別々のチームがたまたま似た動きをした」と考える方が不自然であり少なくとも、同じ開発・運用基盤を共有している可能性はかなり高いとしています。

今後のリスクと、企業が備えるべき対策

Team46は、ゼロデイ脆弱性やドメインフロント技術を駆使し、既存のセキュリティ対策を回避する高度な攻撃を行います。そして、一度侵入すると長期間にわたり潜伏し、痕跡を残さず情報を盗み続ける能力を持っています。

こうした脅威に対し、企業や団体が講じるべき対策は次のとおりです:

  • メールのリンク制御:不審なURLを含むメールはブロックし、公式ルートでのアクセスを促す

  • EDRと挙動分析の導入:ファイルではなく“動き”で検知する仕組みを持つ

  • ログ監視とIOC共有:他社やセキュリティベンダーとのリアルタイム連携を強化する

  • 仮想環境の活用:本番環境への感染を防ぐため、まずサンドボックスで検証を行う

Team46のようなAPTグループは、ターゲットの業界や地域を変えながら、今後も活動を続けていくことが予想されます。防御の鍵は、単なるツール導入だけでなく、脅威の進化に対応する体制づくりが必要になります。

参照

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/team46-and-taxoff-two-sides-of-the-same-coin