謎な広場 A☆SQUARE

日常生活の中で気になる情報をまとめていきます。時事問題や野球、漫画などジャンルは広範囲です。

Googleカレンダーを悪用するマルウェア「ToughProgress」とは?APT41の手口と対策を解説

社会問題

Googleカレンダーを悪用した新たなマルウェア「ToughProgress」が発見

2025年5月29日、Googleの脅威インテリジェンスグループ(GTIG)が、中国の国家支援型ハッカーグループ「APT41」による新たなマルウェア「ToughProgress(タフ・プログレス)」の存在を公表しました。このマルウェアは、Googleカレンダーを悪用してコマンド・アンド・コントロール(C2)通信を行うという巧妙な手口が特徴です。本記事では、ToughProgressの仕組みや影響、そしてユーザーが取るべき対策について詳しく解説します。

ToughProgressとは?APT41の関与とその背景

ToughProgressは、中国政府の支援を受けたサイバー攻撃グループ「APT41」(別名:Winnti Group、Brass Typhoon、Wicked Panda)が開発したマルウェアです。APT41は、過去にも政府機関や企業を標的にしたサイバー攻撃で知られており、2020年にはアメリカ6州の政府ネットワークへの攻撃が確認されています。Googleの発表によると、ToughProgressはGoogleカレンダーを利用してステルス性の高いC2通信を行うことで、従来のセキュリティ対策を回避する設計が施されています。

Googleカレンダーを悪用する仕組み

ToughProgressの攻撃は、以下の手順で進行します。

  1. 初期感染
    ユーザーが悪意のあるLNKファイル(ショートカットファイル)をクリックすることで感染が始まります。このLNKファイルには、暗号化されたペイロードと、それを復号化するためのDLLファイルが含まれています。クリックするとDLLファイルが実行され、マルウェアが展開されます。
  2. ステルスC2通信
    マルウェアGoogleカレンダーにアクセスし、特定のイベントに埋め込まれた暗号化されたコマンドを取得します。2023年7月30日と31日に作成されたイベントが利用された事例が確認されています。コマンドを実行後、結果を別のカレンダーイベントに書き込むことで攻撃者に送信します。
  3. 検知回避技術
    ToughProgressは、メモリ上でのみ動作するペイロードや暗号化、制御フローの難読化を採用しており、一般的なセキュリティツールでは検知が困難です。また、正規のクラウドサービスを利用することで、ネットワークトラフィックの監視をすり抜けます。

なぜGoogleカレンダーが標的にされるのか?

Googleカレンダーサイバー攻撃に悪用される背景には、その普及率と利便性が挙げられます。多くのユーザーが利用する正規サービスであるため、悪意のある通信が通常のトラフィックに紛れ込みやすく、検知が難しいのです。過去にも、Googleカレンダーの招待状を悪用したフィッシング攻撃が報告されており、2024年10月には同様の手口が問題視されていました。Googleは対策を強化していますが、完全な解決には至っていないのが現状です。

ユーザーが取るべき対策

このようなサイバー攻撃から身を守るためには、以下の対策を講じることをおすすめします。

  • 不審なリンクやファイルを避ける
    知らない送信元からのリンクや添付ファイル(特にLNKファイル)を開かないようにしましょう。メールやメッセージで届いたカレンダー招待も、送信元を確認することが重要です。
  • カレンダー設定を見直す
    Googleカレンダーの設定で「自動的に招待を追加する」機能をオフにし、「応答していない招待のみを表示する」オプションを有効にすることで、偽の招待を防ぐことができます。
  • セキュリティソフトを最新に保つ
    最新のセキュリティソフトを導入し、常にアップデートしておくことで、マルウェアの検知率を高めることができます。
  • 二要素認証(2FA)を導入
    Googleアカウントに二要素認証を設定することで、不正アクセスを防ぐ効果が期待できます。

Googleの対応と今後の課題

Googleは、ToughProgressの活動を確認した後、攻撃者が利用していたカレンダーを特定し、関連するWorkspaceプロジェクトを終了させるなどの対策を実施しました。また、影響を受けた組織に通知を行い、ネットワークトラフィックのログを提供するなど、被害の拡大防止に努めています。しかし、正規のクラウドサービスを悪用する攻撃は増加傾向にあり、今後も同様の手口が登場する可能性があります。ユーザー側でも基本的なセキュリティ対策を怠らないことが重要です。

まとめ

Googleカレンダーを悪用したマルウェア「ToughProgress」は、APT41による高度なサイバー攻撃の一例です。ステルス性の高いC2通信を可能にするこのマルウェアは、従来のセキュリティ対策では検知が難しいため、ユーザー自身が予防策を講じることが求められます。不審なリンクやファイルを避け、カレンダーの設定を見直すことで、リスクを軽減しましょう。サイバーセキュリティの最新情報を常にチェックし、安全なオンライン環境を保つことが大切です。