🛡 概要
マイクロソフトのセキュリティ研究者は、OpenAI Assistants APIを隠れたコマンド&コントロールチャネルとして利用する新しいバックドアマルウェア、SesameOpを発見しました。このマルウェアは、2025年7月のサイバー攻撃の調査中に発見され、攻撃者が侵害された環境に持続的にアクセスできることを可能にします。SesameOpを展開することで、攻撃者は専用の悪意のあるインフラに頼ることなく、正当なクラウドサービスを利用して数ヶ月間バックドア化されたデバイスを遠隔管理できるようになります。
🔍 技術詳細
SesameOpバックドアは、OpenAI Assistants APIをストレージおよびリレー機構として使用し、圧縮された暗号化コマンドを取得します。マルウェアはこれらのコマンドを復号化し、感染したシステム上で実行します。攻撃で収集された情報は、対称および非対称暗号化の組み合わせを使用して暗号化され、同じAPIチャネルを通じて送信されます。DART研究者による観察では、重度に難読化されたローダーと、複数のMicrosoft Visual Studioユーティリティに対して.NET AppDomainManager注入を通じて展開された.NETベースのバックドアが含まれています。マルウェアは内部ウェブシェルや長期的なスパイ活動を目的とした「戦略的に配置された」悪意のあるプロセスを通じて永続性を確立します。
⚠ 影響
Microsoftによれば、SesameOpマルウェアはOpenAIのプラットフォームの脆弱性や誤設定を悪用するのではなく、Assistants APIの組み込み機能を誤用しています。攻撃の目的は長期的な持続性を持つスパイ活動であるとされ、マルウェアのステルス性はその目的に一致しています。マイクロソフトとOpenAIは、APIの悪用を調査し、攻撃に使用されたアカウントとAPIキーの特定と無効化を行いました。これにより、企業や組織は新たな脅威に直面する可能性が高まります。
🛠 対策
SesameOpマルウェア攻撃の影響を軽減するために、Microsoftはセキュリティチームに対し、ファイアウォールログの監査、改ざん保護の有効化、ブロックモードでのエンドポイント検出の設定、外部サービスへの不正接続の監視を推奨しています。これらの対策は、マルウェアによる影響を最小限に抑え、企業のセキュリティを強化するために重要です。特に、マルウェアの持続性を考慮した長期的な防御策が求められます。
