【ITニュース解説】Russian APT28 Deploys “NotDoor” Outlook Backdoor Against Companies in NATO Countries

このニュースは、ロシア政府が支援するハッカー集団「APT28」が、「NotDoor」と呼ばれる新しいタイプのバックドアを使い、NATO加盟国の企業に対してサイバー攻撃を展開しているという非常に重要な内容だ。システムエンジニアを目指す上で、このような脅威の具体的な仕組みや背景を理解することは、セキュリティ意識を高め、将来のシステム設計や運用に役立つため不可欠である。

まず、この攻撃の中心にある「APT28」について説明しよう。APT28は「Advanced Persistent Threat 28」の略で、一般的にはロシアの軍事情報機関であるGRUが支援しているとされている国家レベルのハッカー集団だ。彼らは「Fancy Bear」や「Sofacy Group」といった別名でも知られている。国家が支援するハッカー集団は、個人的な金銭目的の犯罪者とは異なり、長期的な情報収集や政治的な影響力行使、あるいはインフラ破壊といった、より大規模で戦略的な目的を持って活動する。彼らの攻撃は非常に高度で巧妙であり、一般企業だけでなく政府機関や重要インフラも標的となることが多い。このため、APT28のようなグループからの攻撃は、その背後に国家間の対立や戦略的な意図があるため、深刻な脅威として捉える必要がある。

次に、今回の攻撃で使用されている新しいバックドア「NotDoor」について詳しく見ていこう。NotDoorは、Microsoft Outlookというメールソフトウェアを狙ったバックドアであり、特に「VBAマクロ」として設計されている点が特徴だ。VBA（Visual Basic for Applications）とは、Microsoft Office製品に搭載されているプログラミング言語で、ユーザーがExcelやWord、Outlookなどのアプリケーションの機能を自動化したり、カスタマイズしたりするために利用できる。例えば、特定の操作を自動で実行する「マクロ」を作成する際にVBAが使われる。しかし、この便利なマクロ機能は、悪意のあるプログラムを作成し、コンピューターに不正な操作を実行させるためにも悪用される危険性がある。

NotDoorの場合、このVBAマクロがOutlookに仕込まれることでバックドアとして機能する。その仕組みは、「特定のトリガーワードを含む受信メールを監視する」というものだ。つまり、攻撃者が標的の企業に不正なメールを送りつけ、そのメールの中にNotDoorが反応する特定のキーワードが含まれていると、OutlookのVBAマクロが自動的に起動し、バックドアとしての機能が本格的に動き出すのだ。

バックドアとは、コンピューターシステムやネットワークに、正規の手続きを踏まずに不正にアクセスするための「裏口」を意味する。NotDoorが一度システムに仕込まれ、トリガーによって起動すると、攻撃者は標的のコンピューターに対して様々な不正な操作が可能になる。具体的には、電子メールの内容や添付ファイルを盗み見たり、コンピューター内の機密情報を外部に送信したり、さらには遠隔でコンピューターを操作して他の不正なソフトウェアをインストールするといったことも考えられる。Outlookはビジネスにおいて日々多くの機密情報を含むメールを扱うため、Outlookがバックドアにされるということは、企業にとって非常に大きなリスクとなる。従業員のメール内容が筒抜けになり、企業の知的財産や顧客情報が窃取される恐れがあるからだ。

今回の攻撃の標的は、NATO加盟国の様々な業種の企業だ。NATO（北大西洋条約機構）は、アメリカ、カナダ、ヨーロッパ諸国が加盟する集団防衛を目的とした軍事同盟であり、ロシアとは地政学的に対立関係にある。そのため、ロシアが支援するAPT28がNATO加盟国を狙うのは、非常に戦略的な意図があると言える。攻撃の目的は、単に金銭を盗むだけでなく、政治的な情報収集、軍事的な優位性を得るための技術情報窃取、あるいは将来的な妨害工作のための足がかり作りなど、多岐にわたるだろう。具体的な業種は明かされていないが、防衛産業、エネルギー産業、IT関連企業、あるいは政府機関にサービスを提供する企業など、国家の安全保障や経済に直結するような企業が狙われやすい傾向がある。

システムエンジニアを目指す皆さんにとって、このようなニュースは単なる対岸の火事ではない。サイバーセキュリティは、現代のシステム開発や運用において最も重要な要素の一つだ。システムを設計する際には、常にセキュリティリスクを考慮し、脆弱性のない堅牢なシステムを構築する必要がある。また、システムが稼働した後の運用フェーズにおいても、常に最新の脅威情報を把握し、適切な対策を講じることが求められる。

今回のNotDoorのような攻撃から身を守るためには、いくつかの基本的なセキュリティ対策が重要となる。まず、OSやアプリケーション、特にMicrosoft Office製品については、常に最新のセキュリティパッチを適用し、既知の脆弱性を解消しておくことが必須だ。また、不審なメールや添付ファイル、リンクには絶対に手を出さないという、ユーザー自身のセキュリティ意識も非常に重要である。Outlookのマクロ機能が悪用されているため、Office製品のマクロ設定をデフォルトで無効にしておく、信頼できないソースからのマクロ実行を制限するといった設定も有効だ。さらに、多要素認証の導入、ネットワークトラフィックの監視、定期的なセキュリティ監査なども、被害を未然に防ぎ、あるいは早期に発見するために役立つ。

システムエンジニアは、単にコードを書くだけでなく、ユーザーや企業の情報を守る「守護者」としての役割も担う。このような巧妙なサイバー攻撃の事例を学び、その手口を理解することで、より安全で信頼性の高いシステムを提供できるようになるだろう。