WhatsAppを悪用した新手のマルウェア、PCを遠隔操作する偽ビジネス文書の罠

WhatsAppの連絡先リストを悪用する新たなマルウェアキャンペーンが、世界12か国以上で確認されている。攻撃者は、ビジネス関連の文書を装ったVBScriptファイルを送りつけ、被害者のPCにリモートアクセスを可能にするManageEngine Endpoint Centralを不正にインストールさせる仕組みだ。この攻撃は、ソーシャルメディアを通じた報告やサンプル分析によって確認されており、WhatsAppのアカウント乗っ取りを経由して拡散しているとみられている。

WhatsAppを悪用した巧妙なフィッシング手口

攻撃の第一歩は、既に乗っ取られたWhatsAppアカウントから送られるメッセージだ。メッセージ自体にはテキストはなく、重度に難読化されたVBScriptファイルのみが添付されている。ファイル名は「財務報告書」「請求書」「口座通知」など、ビジネスや金融に関連する文書を装ったもので、被害者の関心を引き付けるように設計されている。さらに、これらのファイル名は複数の言語にローカライズされており、ブラジル、インド、メキシコ、シンガポール、イギリス、スペイン、台湾、オーストラリア、ロシア、ベトナム、マレーシアといった多様な地域で確認されている。

WhatsApp Web経由で送られた場合、被害者はファイルをダウンロードして実行する必要があるが、WhatsApp Desktopクライアント経由で送られた場合は、Windows Script Host（wscript.exe）を通じて直接実行される可能性がある。この違いは、攻撃の成功率に影響を与える可能性がある。攻撃者は、被害者が文書を開くことを期待して、実在のビジネス文書に似せたファイル名を使用している。この手口は、ソーシャルエンジニアリングの典型的な手法であり、特にビジネス関係者や財務担当者を標的としている可能性が高い。

VBScriptが仕掛ける二段階の感染プロセス

被害者が偽の文書ファイルを開くと、VBScriptが実行され、攻撃者のインフラから追加のスクリプトがダウンロードされる。これらのスクリプトは、レジストリを改ざんすることでユーザーアカウント制御（UAC）の保護を無効にし、ManageEngine Endpoint Centralを含むZIPアーカイブをダウンロードする。ManageEngine Endpoint Centralは、IT管理者がシステムを一元管理するための正規のソフトウェアだが、攻撃者はこのソフトウェアを悪用して、被害者のPCをリモートから操作するためのバックドアとして利用する。

この攻撃プロセスは、二段階の感染メカニズムによって成り立っている。第一段階では、VBScriptがUACを無効化し、システムへの侵入経路を確保する。第二段階では、正規の管理ソフトウェアを不正にインストールし、攻撃者がリモートからシステムを完全に制御できるようにする。この手法は、従来のマルウェアとは異なり、正規のソフトウェアを悪用することで、セキュリティソフトによる検知を回避しやすくなっている。

ManageEngine Endpoint Centralの悪用とリモートアクセスの実態

ManageEngine Endpoint Centralは、IT管理者がエンドポイントデバイスを一元管理するためのツールとして広く使用されている。攻撃者は、このソフトウェアを不正にインストールすることで、被害者のPCを攻撃者が管理するサーバーに接続させ、リモートからシステムを操作するためのバックドアを構築する。この仕組みにより、攻撃者は被害者のPC上で任意のコマンドを実行したり、機密データを窃取したりすることが可能になる。

攻撃者は、被害者のPCにManageEngine Endpoint Centralをインストールした後、このソフトウェアを介してシステムを完全に制御する。具体的には、ファイルのアップロードやダウンロード、スクリーンショットの撮影、Webカメラの操作、さらにはキーロガーの実行などが可能になる。このようなリモートアクセスは、企業内の機密情報や個人情報の漏洩に直結するリスクをはらんでおり、特にビジネス環境での被害が深刻化する可能性がある。

世界的な拡散とローカライズされた攻撃対象

このマルウェアキャンペーンは、ブラジル、インド、メキシコ、シンガポール、イギリス、スペイン、台湾、オーストラリア、ロシア、ベトナム、マレーシアといった12か国以上で確認されている。各国の言語にローカライズされたファイル名が使用されていることから、攻撃者は特定の地域や言語圏をターゲットにしていることが伺える。このようなローカライズは、被害者をだましてファイルを開かせるための効果的な手法であり、マルウェアの拡散を加速させる要因となっている。

攻撃が世界的に拡散している背景には、WhatsAppの普及率の高さと、ソーシャルメディアを通じた情報のやり取りの容易さがある。WhatsAppは、世界中で10億人以上のユーザーを抱えるメッセージングアプリであり、ビジネスや個人間のコミュニケーションに広く利用されている。このため、攻撃者にとっては、信頼できる連絡先から送られてくるメッセージを装うことで、被害者をだましやすい環境が整っていると言える。

WhatsAppアカウントの乗っ取り方法は依然不明

攻撃者がどのようにしてWhatsAppアカウントを乗っ取ったのか、その具体的な手法はまだ明らかになっていない。Kasperskyの分析によると、複数の被害者から収集された証拠やソーシャルメディアの報告、提出されたサンプルから、攻撃者が複数のWhatsAppアカウントにアクセスし、それらの連絡先リストを悪用してマルウェアを拡散していたことが確認されている。しかし、アカウント乗っ取りの手法については、現時点では特定されていない。

考えられるシナリオとしては、フィッシング攻撃やパスワードの再利用、SIMスワップ攻撃などが挙げられる。WhatsAppは、電話番号をベースにアカウントを管理しているため、電話番号の乗っ取りやSIMスワップ攻撃が行われた可能性がある。また、パスワードの再利用によるアカウントの乗っ取りも考えられる。いずれにせよ、WhatsAppユーザーは、アカウントのセキュリティを強化するための対策を講じる必要がある。

企業と個人が取るべき具体的な対策

このようなマルウェア攻撃から身を守るためには、企業と個人がそれぞれ適切な対策を講じることが重要だ。まず、個人ユーザーは、知らない送信元からのファイルやリンクを開かないようにすることが基本中の基本だ。特に、ビジネス関連の文書を装ったファイルには注意が必要であり、送信元が信頼できるかどうかを確認することが重要だ。また、WhatsAppのようなメッセージングアプリでは、二要素認証（2FA）を有効にすることで、アカウントのセキュリティを強化することができる。

企業においては、従業員に対してセキュリティ意識向上のための教育を実施することが不可欠だ。特に、フィッシング攻撃やソーシャルエンジニアリングに関するトレーニングを定期的に行うことで、従業員が不審なメッセージやファイルに対する警戒心を高めることができる。また、エンドポイントセキュリティソフトを導入し、リアルタイムの検知と対応を行うことで、マルウェアの侵入を未然に防ぐことが可能になる。

セキュリティソフトとシステム設定の見直し

この攻撃では、VBScriptを悪用してUACを無効化する手法が用いられている。このため、ユーザーアカウント制御（UAC）の設定を確認し、不要な変更が行われていないかを監視することが重要だ。また、Windows Defenderなどのセキュリティソフトを常に最新の状態に保ち、リアルタイムの検知機能を有効にすることで、マルウェアの侵入を防ぐことができる。

さらに、スクリプトファイル（VBScript、JavaScriptなど）の実行を制限するためのポリシーを設定することも効果的だ。例えば、グループポリシーを使用して、特定のフォルダやファイルタイプの実行を制限することで、マルウェアの実行を防ぐことができる。また、ブラウザやメールクライアントのセキュリティ設定を見直し、悪意のあるスクリプトやファイルが実行されないようにすることも重要だ。

今後の動向とさらなる注意喚起

このマルウェアキャンペーンは、現在も進行中であり、さらなる被害の拡大が懸念されている。攻撃者は、今後も手法を変えながら拡散を続ける可能性があるため、ユーザーは常に最新のセキュリティ情報に注意を払う必要がある。また、企業においては、被害の拡大を防ぐために、早期の検知と対応体制を整備することが重要だ。

WhatsAppをはじめとするメッセージングアプリは、私たちの日常生活やビジネスにおいて欠かせないツールとなっている。しかし、その一方で、これらのプラットフォームを悪用したサイバー攻撃のリスクも高まっている。ユーザー一人一人がセキュリティ意識を高め、適切な対策を講じることで、このような攻撃から身を守ることができる。今後も、新たな脅威に対する警戒を怠らず、安全なデジタル環境の構築に努めることが求められる。