
インドの税務当局を装ったメールや偽サイトから、遠隔操作型マルウェアを配布する攻撃が報告されています。「Operation DragonReturn」と名付けられたこの活動では、税務違反や罰則を示す通知で不安をあおり、正規の申告ツールに見せかけたファイルを実行させます。攻撃主体は確定していませんが、中国系の攻撃者との関連が疑われています。
The Hacker News:Suspected China-Nexus Hackers Use Fake Indian Tax Filing Utility to Deploy DcRAT
この記事のポイント
影響のあるシステム
- 偽のインド所得税申告ツールをダウンロードし、実行したWindows端末
- インド国内の個人納税者、税務専門家、税理士、申告代行業者
- インドの税務処理に関わる企業の財務部門、経理部門、政府関連の委託先
- メールに添付されたPDF内のリンクからZIPファイルを取得した利用者
- 不審なユーザーアカウント制御の確認画面で、管理者権限による実行を許可したWindows端末
- 正規ツールに似たファイル名や偽の政府サイトを信頼してしまう可能性がある業務環境
推奨される対策
- 税務通知や罰則に関するメールを受信した場合は、本文や添付PDFのリンクを使わず、公式サイトから内容を確認する
- 税務申告ツールは、インド所得税当局が管理する正規のサイトからのみ入手する
- メールや外部サイトから取得したZIPファイル、実行ファイル、DLLファイルを安易に開かない
- 予期していないユーザーアカウント制御の確認画面が表示された場合は、管理者権限での実行を許可しない
- 企業のメールゲートウェイで、税務違反や罰則を装う不審なメールとPDF内の外部リンクを検査する
- Windowsサービスの新規作成、AMSIの改変、DLLサイドローディング、メモリ内実行をEDRなどで監視する
- インド拠点やインドの税務業務に関わる担当者へ、今回の攻撃手口を周知する
- 関連するドメイン、IPアドレス、ファイルハッシュなどの侵害指標を公式調査レポートで確認し、監視へ反映する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- スピアフィッシング:特定の個人や部門、組織に合わせて内容を作り込み、メールや偽サイトから不正なファイルを開かせる攻撃です。
- RAT:Remote Access Trojanの略称です。感染した端末を攻撃者が遠隔操作し、情報取得や追加マルウェアの実行などを行うために使われます。
- DcRAT:Windows端末を遠隔操作する機能を持つマルウェアです。システム情報の収集や攻撃者のサーバーとの通信などに利用される可能性があります。
- DLLサイドローディング:正規または正規に見える実行ファイルに、同じ場所へ置かれた不正なDLLを読み込ませる攻撃手法です。
- C2サーバー:攻撃者が感染端末へ命令を送り、収集した情報を受け取るために使用する指令・制御サーバーです。
- UAC:User Account Controlの略称です。Windowsで管理者権限を必要とする操作を実行する際に確認画面を表示する機能です。
- AMSI:Antimalware Scan Interfaceの略称です。Windows上のスクリプトや動的に実行されるコードをセキュリティ製品が検査するための仕組みです。
- インメモリ実行:不正なプログラムを通常のファイルとして保存せず、主に端末のメモリ上で読み込んで実行する手法です。
税務違反の通知で受信者を偽サイトへ誘導

Seqrite Labsが「Operation DragonReturn」と名付けた攻撃活動は、インドの個人納税者、税務専門家、申告代行業者、企業の財務・経理部門などを主な対象としています。最初の活動は2026年5月18日に確認され、インドの所得税申告時期に合わせて展開されたと報告されています。攻撃者は不特定多数へ単純な迷惑メールを送るのではなく、インド所得税当局からの正式な通知に見せかけた内容を用意していました。
確認されたメールには、税務上の違反や罰則を示唆するPDFファイルが添付されています。PDFには外部サイトへのリンクが埋め込まれており、受信者がクリックすると、インドの税務当局を装った偽のページへ移動します。誘導文書には実際の法律に基づく条文が引用され、ヒンディー語と英語を併記した政府文書風の構成や、架空の参照番号、担当者名なども使用されていました。
偽サイトでは、所得税申告に使用する一般的なオフラインツールをダウンロードするよう案内されます。配布されるZIPファイルの名称も、インド所得税当局が提供する正規ツールの命名規則に近づけられていました。税務担当者が日常的に扱うツールに見せかけることで、不審なファイルであることに気付かせにくくする狙いがあるとみられます。
Seqriteは、法律上の記述、二言語による文書、対象を絞った誘導、短い間隔でのペイロード変更などから、この活動を偶発的な攻撃ではなく、一定の準備と資源を投入した継続的な作戦と評価しています。税務処理には期限があり、違反や罰則を示されると受信者が急いで確認しやすいため、攻撃者は業務上の心理的圧力を初期侵入に利用していると考えられます。
画像ファイルに隠したペイロードを段階的に展開
偽の税務申告ツールを実行すると、攻撃は複数の段階に分かれて進みます。ZIPファイルには正規ツールに見せかけた実行ファイルとDLLが含まれており、実行ファイルから「nvdaHelperRemote.dll」という不正なDLLを読み込ませるDLLサイドローディングが行われます。DLLは別のペイロードをメモリへ注入し、感染処理を継続します。
次の処理では、マルウェアが管理者権限で動作しているかを確認します。必要な権限がない場合は、WindowsのUAC確認画面を表示し、利用者に昇格を許可させようとします。起動後は、デバッガーやサンドボックスなどの解析環境で実行されていないかを調べ、セキュリティ研究者や自動解析システムによる検出を回避する処理を行います。
その後、攻撃者が用意したサーバーから「lllyd.jpg」という名称のファイルを取得し、Windowsフォルダ内へ「background.jpg」として保存します。このファイルは一般的な背景画像として利用されるものではなく、後続の不正なDLLを格納するコンテナとして使用されます。内部から約504KBのDLLが抽出され、Windows Media Playerのフォルダ内へ書き込まれると報告されています。
マルウェアは自身を「Mixed Reality.exe」という名称でコピーし、「MixedSvc」というWindowsサービスを作成します。このサービスは端末の起動時に自動実行されるよう設定され、正規のWindows機能に見える表示名や説明を使用します。これにより、利用者が端末を再起動しても不正プログラムが再び動作し、攻撃者が長期間アクセスを維持できる状態が作られる可能性があります。
遠隔操作、画面取得、セキュリティ機能の回避を実行
「Mixed Reality.exe」からは、役割の異なる複数のペイロードが展開されます。Seqriteの分析では、その一つが.NET形式のローダーとして動作し、解析回避処理、永続化、暗号化されたペイロードの復号、メモリ内での実行などを行うことが確認されています。また、WindowsのAMSIに関係する処理をメモリ上で変更し、後続の.NETコードがセキュリティ製品によって検査されにくい状態を作ろうとします。
復号されたマルウェアはDcRATとして動作し、感染端末のハードウェア識別情報、ユーザー名、OSの種類や構成、実行ファイルの場所、権限レベル、使用中のウイルス対策製品などを収集します。取得した情報は圧縮され、暗号化された通信を通じて攻撃者のC2サーバーへ送信されると報告されています。これにより、攻撃者は感染端末の状態を把握し、その後の操作を判断できる可能性があります。
別のペイロードには、端末の画面を取得し、画像を圧縮して外部サーバーへ送信する機能が含まれていました。画面上に表示された税務情報、会計データ、社内システム、メール、認証情報などが撮影されれば、ファイルを直接窃取しなくても機密情報が漏えいする恐れがあります。元記事では、攻撃の最終的な目的として、金銭的利益または機密データの窃取が想定されています。
2026年7月7日に公開されたCyderesの追跡分析では、同様の偽税務サイトとZIPファイルを用いる攻撃チェーンから、Gh0st RATの派生型とAsyncRAT系のRATという、二つの遠隔操作マルウェアが展開される構成も確認されました。二つのマルウェアは別々のC2サーバーへ接続するため、一方が検知・遮断されても、もう一方を通じてアクセスを維持できる可能性があります。分析時期や検体によって最終的なペイロードが異なることから、攻撃者が構成を更新している可能性も考慮する必要があります。
中国系攻撃者との関連は疑われるものの断定はできない

今回の活動を実行した人物や組織は、現時点で確定していません。Seqriteは、攻撃インフラの所在地、C2サーバー上で確認された中国語の管理画面、ChinaNetに属するIPアドレス、過去の攻撃手法との重複などを分析し、中国系の攻撃者が関与している可能性があると評価しています。ただし、サーバーの所在地や使用言語だけで攻撃主体を断定することはできません。
調査では、中国系のサイバー犯罪グループとして追跡されている「Silver Fox」と、インフラや戦術面で共通する特徴も確認されたと報告されています。Silver Foxは過去に、税務を題材としたフィッシング攻撃からValleyRATなどの遠隔操作マルウェアを配布したとされています。今回確認されたGh0st RAT系のペイロードも、過去の活動との関連を検討する材料となっています。
一方、攻撃者が別のグループのツールやインフラ、公開されたマルウェアを流用し、意図的に関連性を装う可能性もあります。DcRAT、AsyncRAT、Quasar RAT、Gh0st RATなどは相互に技術的な系譜や派生関係を持つとされ、複数の攻撃者が利用できるマルウェアです。そのため、特定のRATが使われていることだけを根拠に、攻撃主体を決めることは適切ではありません。
元記事では、インフラや攻撃手法の類似性から、中国と関連する脅威アクターによる活動が疑われるとしていますが、あくまで分析上の評価です。日本企業が対応する際も、攻撃者の国籍や組織名の特定を優先するのではなく、フィッシングメール、偽サイト、DLLサイドローディング、Windowsサービスによる永続化、外部C2通信といった確認可能な攻撃の痕跡を基準に調査することが重要です。
日本企業も関連するValleyRAT攻撃に注意

Operation DragonReturnの主な対象はインドの納税者や税務関係者であり、日本企業全体を直接狙った活動として報告されたものではありません。ただし、インド拠点を持つ企業、現地法人の税務処理を日本から支援している部門、インドの会計事務所や委託先とファイルを交換する担当者は、偽の税務通知や申告ツールを受け取る可能性を考慮する必要があります。
また、元記事では別の関連動向として、日本語および中国語を使用する利用者を対象に、ValleyRATを配布する二つのキャンペーンが確認されたことも紹介されています。一つは給与調整を題材としたフィッシングメールで、記載されたURLからZIPファイルをダウンロードさせ、DLLサイドローディングを通じてValleyRATを実行します。もう一つは、通信アプリ「LINE」などの偽インストーラーを利用する手口です。
これらはインドの税務申告を悪用したOperation DragonReturnと同一の攻撃であると確定したものではありません。しかし、正規サービスに似せたインストーラー、業務上重要な通知、ZIPファイル、DLLサイドローディング、解析回避、RATの展開といった共通点があります。攻撃者は利用者の地域や言語に合わせて誘導内容を変えながら、類似した侵入手法を使用している可能性があります。
日本企業では、海外拠点だけを対象にした注意喚起で終わらせず、給与通知、税務手続き、業務用ソフトウェアの更新などを装うメールを横断的に警戒する必要があります。ソフトウェアの入手先を公式サイトや社内配布システムへ限定し、メールから直接ダウンロードしたプログラムを実行しない運用を徹底することが、同種のRAT感染を防ぐうえで有効です。
企業が確認すべき侵入の痕跡と運用上の対策
不審な税務通知を受信した場合は、送信者名やメール本文の見た目だけで正当性を判断してはいけません。メールアドレスのドメイン、PDF内のリンク先、ダウンロード元のドメインを確認し、公式サイトと一致しない場合はアクセスを避ける必要があります。税務当局からの通知が疑われる場合も、メール内のリンクではなく、あらかじめ登録した公式サイトや正規の問い合わせ窓口から確認することが重要です。
端末側では、「MixedSvc」というサービス、「Mixed Reality.exe」という実行ファイル、Windows Media Playerのフォルダ内に配置された「nvdaHelperRemote.dll」、Windowsフォルダ内の「background.jpg」などが調査上の手掛かりとして報告されています。ただし、攻撃者がファイル名や保存先を変更する可能性があるため、名称の一致だけで感染の有無を判断するべきではありません。
セキュリティ担当者は、通常とは異なるWindowsサービスの作成、正規プログラムからの不審なDLL読み込み、管理者権限への昇格、svchost.exeなどへのプロセスインジェクション、AMSI関連処理の改変、画像ファイルから実行可能なデータを抽出する挙動を確認する必要があります。さらに、業務上利用していない外部ドメインやIPアドレスへの暗号化通信が継続していないか、プロキシ、DNS、ファイアウォール、EDRの記録を横断して調査することが推奨されます。
感染が疑われる端末を発見した場合は、単に不審なファイルを削除するだけでなく、ネットワークから隔離し、作成されたサービス、メモリ内で動作するプロセス、ログイン中の各ユーザーセッション、外部通信、認証情報の使用状況を確認する必要があります。複数のRATが同時に展開される構成も報告されているため、一つのマルウェアを除去した時点で対応を完了せず、別の永続化手段やC2通信が残っていないかを調査することが重要です。
参考文献・記事一覧
投稿者プロフィール

- CyberCrew(サイバークルー)
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
最新の投稿
2026.07.19経験の浅い攻撃者でも侵入に成功、Windows端末に残された複数の遠隔操作経路
2026.07.18納税シーズンを狙う多段階攻撃、偽サイトから複数の遠隔操作マルウェアに感染
2026.07.17Linuxの15年越し脆弱性「GhostLock」公開、root権限奪取とコンテナ脱出のおそれ
2026.07.16Microsoftが警告、MCPツールの説明文を悪用してAIエージェントから企業データを窃取









