
The Hacker Newsは、イラン情報省に関連するとされる攻撃グループが、新たなモジュール型C2フレームワーク「Cavern」を使い、イスラエルの組織を標的にしていると報じています。特にIT事業者や政府関連組織が狙われており、信頼されたサービス提供関係やリモート管理ツールが悪用される点が重要です。
The Hacker News:Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations
この記事のポイント
影響のあるシステム
- イスラエルのITプロバイダーおよび政府関連組織
- リモート監視・管理ツール、ブラウザベースのリモートデスクトップ技術を利用する環境
- SysAidのソフトウェア更新機能が利用される環境。ただし、元記事ではSysAid製品の脆弱性としては記載されていません。
- SmarterMail、n8n、N-central、Langflow、Laravel Livewireなど、既知の脆弱性を抱えたインターネット公開システム
- CVE-2025-52691、CVE-2025-68613、CVE-2025-9316、CVE-2025-34291、CVE-2025-54068に関連する製品環境
推奨される対策
- RMMやリモートデスクトップ製品の利用状況、アクセス権限、接続元制限を確認する
- ソフトウェア更新機能を悪用した不審なDLL配置やDLLサイドローディングの痕跡を調査する
- SmarterMail、n8n、N-central、Langflow、Laravel Livewireなどの対象製品を利用している場合、既知脆弱性の修正状況を確認する
- IT委託先、MSP、保守ベンダー経由のアクセスを棚卸しし、不要な接続や過剰権限を削減する
- Active Directory、SQLデータベース、SMB共有、WebSocket通信、SOCKS5プロキシに関する不審な挙動を監視する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- C2:Command and Controlの略です。攻撃者が侵害した端末へ命令を送り、情報窃取や横展開を制御するための仕組みです。
- MOIS:Iran’s Ministry of Intelligence and Securityの略で、イラン情報省を指します。
- RMM:Remote Monitoring and Managementの略です。IT管理者やサービス事業者が、顧客環境の端末やサーバーを遠隔で管理するための仕組みです。
- DLLサイドローディング:正規プログラムが読み込むDLLを悪意あるファイルに置き換え、正規プロセスに見せかけて実行させる手法です。
- Native AOT:.NETアプリケーションを事前にネイティブコードへコンパイルする方式です。解析時に通常の.NETアセンブリとは異なる確認手順が必要になる場合があります。
- AppDomain isolation:.NETにおける実行単位の分離機構です。元記事では、モジュール単位の分離が解析やフォレンジックを難しくする要素として説明されています。
- CVE:共通脆弱性識別子です。特定の脆弱性に付与される管理番号で、元記事では複数の既知脆弱性が列挙されています。
信頼されたIT事業者が攻撃経路になるリスク
今回の報道で重要なのは、攻撃者が単純に標的組織へ直接侵入するだけでなく、ITプロバイダーなどの信頼関係を利用している点です。Check Point Researchが追跡するCavern Manticoreは、主にイスラエルのIT事業者や政府関連組織を標的にしているとされています。攻撃では、最初に侵害されたITプロバイダーから別のプロバイダーへ移動し、最終的な標的組織へ到達するような流れも確認されたと報じられています。これは、委託先や保守ベンダーが持つ管理権限が、攻撃者にとって大きな足場になり得ることを示しています。特にRMMやリモートデスクトップのような管理ツールは、本来は運用効率を高めるための仕組みですが、侵害された場合には正規の管理経路に見える形で不正操作が行われる可能性があります。日本企業でも、MSP、保守会社、開発会社、クラウド運用代行会社に強い権限を渡しているケースは珍しくありません。そのため、自社環境だけでなく、外部委託先がどのような権限で接続しているか、接続元や操作ログを確認できるかを見直すことが重要です。
モジュール型C2「Cavern」の特徴

Cavernは、Cavern Agentと複数のCavern modulesに分かれたモジュール型のC2フレームワークとして説明されています。中核となるエージェントは通信や追加モジュールの取得を担い、各モジュールはファイル操作、SQLデータベースの列挙やエクスポート、Active Directoryの偵察、LDAPブルートフォース、ネットワークスキャン、SMBブルートフォース、SOCKS5プロキシ、WebSocketトンネリングなど、目的別の機能を持つとされています。このように機能を分割することで、攻撃者は標的環境に応じて必要な機能だけを投入し、痕跡を減らしながら侵害後の活動を進められる可能性があります。元記事では、mhm.dll、db.dll、ode.dll、n-ten.dll、n-sws.dllなどのDLLモジュールが確認されたとされています。また、Cavernの特徴として、.NET Framework、.NET Mixed-Mode C++/CLI、.NET Native AOTなど、複数のコンパイル形式が使われている点も挙げられています。これは、解析担当者に複数のツールセットや復元作業を要求し、解析の難度を上げる狙いがあると説明されています。単なるマルウェア検知だけでなく、通信、プロセス、DLLロード、認証試行、データ転送の組み合わせで異常を捉える必要があります。
更新機能とDLLサイドローディングの悪用
元記事によると、確認された攻撃チェーンでは、SysAidのソフトウェア更新機能が利用され、DLLサイドローディングにつながったとされています。その結果、トロイの木馬化された「uxtheme.dll」が実行され、Cavern Agentとして動作したと説明されています。その後、通信モジュールである「n-HTCommp.dll」が読み込まれ、C2サーバーと通信し、HTTPSまたはWebSocket経由で追加の侵害後モジュールを取得したとされています。ここで注意すべき点は、元記事ではSysAidそのものの新たなCVEや未修正脆弱性として説明しているわけではないことです。むしろ、正規の更新機能や管理機能が攻撃者に悪用されると、セキュリティ製品や運用担当者から見て通常の管理操作に見えやすいという点が問題です。日本企業では、業務効率化のために遠隔保守、資産管理、パッチ配布、ヘルプデスク支援ツールを導入しているケースが多くあります。これらのツールは非常に便利である一方、攻撃者が管理者権限を奪った場合には、マルウェア配布や横展開の経路として機能してしまう可能性があります。したがって、更新機能の実行ログ、署名の有無、不審なDLL配置、通常と異なる通信先への接続を継続的に確認することが求められます。
中東で広がる既知脆弱性悪用との関係

今回のCavern Manticoreに関する報道は、イラン関連の攻撃活動が中東地域で活発化している文脈の中で紹介されています。元記事では、MuddyWaterとして追跡されるイラン国家支援型の攻撃者が、インターネットに公開された12,000以上のシステムに対して広範な偵察活動を行ったとされています。この活動では、SmarterMail、n8n、N-central、Langflow、Laravel Livewireに関する既知脆弱性が悪用されたと説明されています。列挙されているCVEは、CVE-2025-52691、CVE-2025-68613、CVE-2025-9316、CVE-2025-34291、CVE-2025-54068です。さらに、この活動は広範な偵察から、航空、エネルギー、政府関連組織を対象とした認証情報収集やデータ窃取へ移行したと報じられています。日本国内の組織にとっても、地理的に直接の標的ではないから安全とは言い切れません。攻撃者は、公開サーバー、管理画面、メール基盤、ワークフロー自動化基盤、AI関連ワークフロー製品など、外部から到達可能で脆弱性が残るシステムを優先的に探索する傾向があります。自社が対象製品を使っているか、インターネットに公開されているか、修正プログラムの適用状況が最新かを確認することが、現実的な初動対応になります。
日本企業が優先して確認すべきこと
日本企業がこの事案から学ぶべき点は、特定の国や地域の攻撃として片付けるのではなく、自社の運用に置き換えて確認することです。まず、RMM、リモートデスクトップ、資産管理、パッチ配布、ヘルプデスク支援ツールの一覧を作成し、誰がどの権限で接続できるのかを確認する必要があります。次に、IT委託先や保守ベンダーに付与しているアカウントが共有アカウントになっていないか、多要素認証が有効か、接続元IP制限や操作ログの取得ができているかを確認します。また、今回の事例ではDLLサイドローディングや追加モジュール取得が重要な要素として出ているため、EDRやログ監視で不審なDLL読み込み、通常と異なる親子プロセス、未知の外部ドメインへのHTTPS通信やWebSocket通信を検知できるかも確認すべきです。公開システムについては、SmarterMail、n8n、N-central、Langflow、Laravel Livewireなどの対象製品を利用していないかを棚卸しし、該当する場合はベンダー情報やNVDなどの公式情報をもとに修正状況を確認します。攻撃者は新しい手法だけでなく、既知の脆弱性や正規の管理機能を組み合わせて侵入するため、パッチ管理、委託先管理、ログ監視を一体で見直すことが重要です。
参考文献・記事一覧
- The Hacker News
- Check Point Research
- Oasis Security
- NVD:CVE-2025-52691
- NVD:CVE-2025-68613
- NVD:CVE-2025-9316
- NVD:CVE-2025-34291
- NVD:CVE-2025-54068
投稿者プロフィール

- CyberCrew(サイバークルー)
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)









