Turla Kazuarが「P2Pボットネット」へ進化 - 検知を避ける国家系バックドアの新アーキテクチャ

ロシアの国家支援APTグループTurla（Microsoftの呼称はSecret Blizzard）が、長年使い続けてきたバックドアKazuarを、モジュール型のP2P（ピアツーピア）ボットネットへと作り替えた。2026年5月14日にMicrosoftが「Kazuar: Anatomy of a nation-state botnet」として詳細を公表した本事案は、国家系の諜報マルウェアが「いかにして長期間気づかれずに居座るか」を突き詰めた到達点を示している。単なる新型マルウェアの紹介ではなく、検知を避けるための設計思想そのものが脅威の核心だ。本稿ではその構造と、防御側が取るべき対策を解説する。

概要

• 脅威アクター：Turla / Secret Blizzard。ロシア連邦保安庁（FSB）Center 16に紐づくとされる国家支援グループ（別名 Venomous Bear / Snake / Uroburos など）。
• マルウェア：.NET製バックドア「Kazuar」。2017年から使われ続けてきたが、単体（モノリシック）構成からKernel・Bridge・Workerの3モジュール型P2Pボットネットへ進化。
• 狙い：外務省・大使館・政府機関・防衛省庁・防衛関連企業。欧州・中央アジア・ウクライナが中心の長期的な諜報（情報収集）。
• 本質：機能の派手さではなく「検知されにくさ」を徹底追求した設計。リーダー選出で外部通信する端末を1台に絞り、ネットワーク上の痕跡を最小化する。

何が起きたのか

Kazuarは2017年から観測されてきた成熟したバックドアであり、Turlaの主力ツールの一つだ。Microsoftの最新解析は、このKazuarが「比較的伝統的な単体バックドア」から「高度にモジュール化されたP2Pボットネットのエコシステム」へと変貌した過程を明らかにした。

なぜ国家系アクターがわざわざこのような作り替えを行うのか。答えは彼らの目的にある。金銭目的のサイバー犯罪が「素早く侵入し、素早く換金する」のに対し、国家系の諜報活動は何ヶ月、何年にもわたって標的の内部に潜み、情報を抜き続けることを目指す。そのためには、単発の侵入よりも「気づかれずに居座り続ける持続性（パーシステンス）」と「発見されても全体が崩れない冗長性」が決定的に重要になる。Kazuarのモジュール化とP2P化は、まさにこの長期潜伏を最適化するための進化だった。

技術的な解説

3つのモジュール：Kernel・Bridge・Worker

新しいKazuarは、役割を明確に分けた3種類のモジュールで構成される。一枚岩のマルウェアを分割することで、各端末が担う機能を最小化し、解析や検知を難しくしている。

「リーダー選出」が検知を難しくする

最も注目すべき仕組みがリーダー選出（leadership election）だ。あるネットワーク内で複数の端末がKazuarに感染している場合、全端末がそれぞれ外部のC2サーバーと通信すれば、その通信量と接続先の不審さから検知されやすくなる。

Kazuarはこれを避けるため、感染端末同士でローカルに連携（P2P）し、外部と通信する代表を1台だけ選出する。選出はWindowsの「Mailslot」という端末間通信の仕組みを使い、稼働時間（再起動やログオフによる中断を差し引いたアップタイム）を基準に行われる。残りの端末は、この代表を経由して指令を受け取りデータを送る。結果として、外向きの通信痕跡が劇的に減り、ネットワーク監視からの発見が難しくなる。1台が駆除されても別の端末が新たなリーダーになるため、ボットネット全体は生き残る冗長性も備える。

HTTP・WebSocket・Exchange Web Servicesの多重C2

外部C2との通信チャネルは3種類用意されている。

• HTTP（デフォルト）
• WebSocket（WSS）
• Exchange Web Services（EWS）——メールベースの通信。正規のExchange/メールトラフィックに紛れる。

特にEWSを使ったメール経由の指令通信は、業務メールの中に紛れ込むため検知が極めて難しい。さらにKazuarは150種類以上の設定項目を持ち、通信方式・実行/インジェクション・セキュリティ回避・送信タイミング・収集対象などを細かく調整できる。攻撃者は標的環境に合わせて挙動を最適化し、「目立たない設定」を選べる。

隠蔽・対解析の徹底

Kazuarはアンチ解析・サンドボックス検知のルーチンを多数備え、さらにWindowsの防御機構を無効化・回避する。

• AMSI（Antimalware Scan Interface）のバイパス——スクリプトのスキャンを回避
• ETW（Event Tracing for Windows）のバイパス——イベントログによる追跡を妨害
• WLDP（Windows Lockdown Policy）のバイパス
• 通信ブラックアウト期間の設定——一定時間通信を止め、正常な通信パターンに溶け込む

これらは「侵入する技術」というより「居座り続けるための技術」だ。検知ロジックの目をかいくぐり、ログに残らず、通信のリズムを偽装する——国家系アクターが時間をかけて磨き上げた持続性の結晶と言える。

日本企業への影響

Turlaが直接狙うのは欧州・中央アジア・ウクライナの政府・防衛機関であり、日本企業がいきなり主標的になる可能性は相対的に低い。しかし、ここから学ぶべき教訓は日本の組織にも普遍的に当てはまる。

• 「侵入検知」だけでは不十分：Kazuarのような脅威は、侵入そのものより「侵入後に何ヶ月も気づかれずに潜伏する」点が脅威だ。境界での侵入検知に偏重し、内部での持続的活動を見ていない組織は、長期潜伏型の攻撃に弱い。
• 正規プロトコルのC2悪用は防ぎにくい：EWS（Exchange）やHTTPS/WebSocketを使ったC2は、業務通信に紛れる。Google SheetsをC2に悪用したGRIDTIDEと同様、「正規サービスへの通信＝安全」という前提が崩れている。
• 防衛・先端技術・政府関連の取引先は標的になり得る：直接の標的でなくとも、サプライチェーンや情報源として日本企業が経由地にされる懸念は残る。

国家系APTはAPT28やMuddyWaterの事例でも見たとおり、静かに長期間潜む。派手な被害が出ないぶん発見が遅れ、気づけば長期間にわたり情報を抜かれていることもある。

今すぐ確認すべきポイント

1. 攻撃面削減（ASR）ルールを有効化する

MicrosoftはKazuar対策として攻撃面削減（Attack Surface Reduction）ルールの適用を推奨している。難読化スクリプトの実行、PSExecやWMIによるコマンド実行をブロックすることで、Kazuarが多用する実行手法を封じられる。

2. EDRのブロックモードとネットワーク保護を有効化する

Microsoft Defender for Endpointのブロックモード、ネットワーク保護、改ざん防止（Tamper Protection）、クラウド配信の保護を有効にする。Kazuarが定義更新の無効化やセキュリティ製品の改ざんを試みても、改ざん防止が働けば抵抗できる。

3. PowerShellログとスクリプト実行を統制する

AMSIやETWのバイパスを試みる挙動を捉えるため、PowerShellのスクリプトブロックログ・モジュールログを有効化する。SmartScreenと実行ポリシーで未署名スクリプトの実行を制限し、ログが取れる状態を維持する。

4. 内部の横方向通信（Mailslot/IPC）を監視する

Kazuarのリーダー選出はWindowsのMailslotやメッセージング機構を使う。端末間の予期しないIPC通信や、内部ネットワークでの不審な相互接続を監視対象に加える。「外向き通信が1台に集中している」という偏りも、リーダー集約の兆候になり得る。

5. EWS・メール経由のC2を疑う

Exchange Web Services経由のC2は業務メールに紛れる。Exchange/OWAのアクセスログで、自動化された不審なEWSアクセス、見覚えのないアプリ・サービスアカウントによる接続、定期的（ビーコン的）なパターンがないかを確認する。Exchange関連の脅威と併せて、メール基盤の監視を強化したい。

6. 長期潜伏を前提にスレットハンティングを実施する

「侵入されていないか」ではなく「すでに潜伏されていないか」という視点で、定期的なスレットハンティングを行う。少しでも痕跡が見つかればインシデント対応手順に沿って対応する。

参考情報

• Microsoft Security Blog: Kazuar — Anatomy of a nation-state botnet（2026年5月14日）
• The Hacker News: Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access
• BleepingComputer: Russian hackers turn Kazuar backdoor into modular P2P botnet
• Security Affairs: Russian APT Turla builds long-term access tool with Kazuar Botnet evolution