🔥 この記事の詳細
2026-06-17 更新
C
月内に

ランサムウェア組織DragonForceが、Microsoft TeamsのTURNリレーサーバーを悪用してC2通信を隠蔽する新手法を用いたこと

脆弱性🌐 英語ソース📰 3記事🌐 3 countries
🇰🇷 Korea · 🇬🇧 UK · 🇺🇸 US
📅 2026-06-17📰 dailysecu
📌 一言でいうと
ランサムウェア組織DragonForceが、Microsoft TeamsのTURNリレーサーバーを悪用してC2通信を隠蔽する新手法を用いたことが判明しました。攻撃者は「Backdoor.TURN」という独自のマルウェアを使用し、正規のTeamsトラフィックに偽装することでセキュリティ製品の検知を回避していました。初期侵入にはSQLサーバーの未知の脆弱性が利用された可能性があり、その後DLLサイドローディングやBYOVD(Bring Your Own Vulnerable Driver)などの高度な手法で権限昇格と防御無効化を行っています。
🔍該当判定
  • Microsoft Teamsを社内で利用している
  • SQL Server または MSSQL Server を運用している
  • 外部から社内サーバーへアクセス可能な環境(VPNや公開サーバー)がある
  • Windows OSを搭載したPCやサーバーを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. SQL/MSSQLサーバーの最新パッチ適用と外部公開設定の再確認。2. Teamsトラフィックであっても、異常な通信量や不審な接続先がないかネットワーク監視を強化。3. 未知のDLLのロードや、不審なドライバーのインストールを検知・遮断するEDR設定の最適化。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft Teamsインフラを悪用したC2通信(DragonForce)への対応について

お疲れさまです。ランサムウェア組織DragonForceによる新手法に関する情報共有です。

■ 概要
攻撃者がMicrosoft TeamsのTURNリレーサーバーを悪用し、C2通信を正規のTeamsトラフィックに偽装する「Backdoor.TURN」マルウェアが確認されました。これにより、従来のネットワーク監視では悪性通信の検知が困難になります。

■ 影響範囲
- Microsoft Teamsを利用し、かつSQL/MSSQLサーバーを運用している環境

■ 対応手順
1. SQL/MSSQLサーバーの脆弱性管理を徹底し、最新のセキュリティパッチを適用してください。
2. EDR等を用いて、不審なDLLサイドローディングや、脆弱なドライバーのロード(BYOVD)が発生していないかログを確認してください。
3. Teams通信経路において、異常なトラフィックパターンがないか監視を強化してください。

■ 参考情報
- Symantec分析レポート (2026年6月16日公開)

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] C2 Communication via Microsoft Teams Infrastructure (DragonForce)

Dear IT/Security Team,

We are sharing information regarding a new technique used by the DragonForce ransomware group.

■ Overview
Attackers are using a custom malware called 'Backdoor.TURN' to disguise C2 traffic as legitimate Microsoft Teams traffic by abusing TURN relay servers. This makes it extremely difficult for traditional security tools to distinguish malicious communication from normal business traffic.

■ Scope
- Environments utilizing Microsoft Teams and operating SQL/MSSQL servers.

■ Recommended Actions
1. Ensure all SQL/MSSQL servers are fully patched and minimize external exposure.
2. Monitor EDR logs for signs of DLL side-loading or the loading of vulnerable drivers (BYOVD).
3. Enhance network monitoring for anomalous traffic patterns within Teams communication channels.

■ Reference
- Symantec Analysis Report (Published June 16, 2026)

Priority: High
Deadline: Immediate review
📰 関連する 2 件の記事
theregisterDragonForceランサムウェアグループが、Microsoft Teamsの正規トラフィックにコマンド&コントロール(C2)通信を偽装し…bleepingランサムウェアグループのDragonForceが、Microsoft TeamsのTURNリレーインフラを悪用してC2通信を隠蔽するカスタム…
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-17 のまとめ🔍 記事を検索