ZoomとTeamsを悪用した秘匿トンネル「TURNt」の脅威：セキュリティニュースアラート

PraetorianはZoomやTeamsのTURNサーバを悪用し、信頼性の高いドメインを経由して秘匿的に中継する手法を発表した。ツール「TURNt」はSOCKSプロキシやポートフォワーディング機能を備え、TLSおよびDTLSで通信の秘匿性を高める。

[後藤大地，有限会社オングス]

　Praetorianは2025年8月6日（現地時間）、「Zoom」および「Microsoft Teams」のTURNサーバを悪用し、信頼性の高いドメイン経由でトラフィックを秘匿的にトンネリングする手法を発表した。WebRTCおよびTURNプロトコルを利用したアプローチの詳細と、同社が開発したツール「TURNt」の概要を示している。

Praetorianが公開したTURN悪用による新型トンネリング手法

　調査ではZoomやTeamsのWebクライアントを解析し、会議接続時に付与されるTURNサーバの認証情報を特定している。この認証情報は数日間有効とされ、制限の厳しいファイアウォール環境でもTCP経由でトラフィックを中継できる。

　TURNは本来、NATやファイアウォールを越えてメディアデータを転送するためのプロトコルだが、構造上、攻撃者が管理する2つのノード間でSOCKSプロキシを確立することも可能とされている。

　同社はZoomのMMRサーバの模倣やRTPストリームを使ったデータ転送など複数の案を検討したが、最終的にはTURNサーバ経由のトンネリングを採用した。その理由として移植性や複数サービスへの適用容易性を挙げている。この手法は、ZoomやTeamsのドメインが企業環境でTLS検査の対象外に設定される傾向を利用する。ただし、全トラフィックがTLS検査付きHTTPプロキシを経由する環境や、TCP通信特有の性能劣化が発生する場面では有効性が制限されるとしている。

　TURNtはGo言語とPion WebRTCライブラリーを使って実装され、SOCKSプロキシ機能に加え、ローカルおよびリモートのポートフォワーディングをサポートする。リモートポートフォワーディングでは固有のGUIDを割り当て、任意の内部システム接続を防ぐ設計が採用されている。SCTPを活用することで、複数接続の多重化時に発生しやすいヘッドオブラインブロッキング問題を軽減している。

　暗号化面では外側のTLS層と内側のDTLS層を組み合わせ、完全前方秘匿性を確保しつつ、プロキシによる中間者攻撃を困難にしている。これにより、SOCKSプロキシ利用を含む通信の検出を困難にし、運用上の秘匿性を高める効果がある。Praetorianは今回の発表で、一般的にホワイトリスト登録されているWeb会議サービスのインフラを経由した柔軟なトンネリング手法を提示したとしている。