まったく、またしても我々の生活を厄介にするマルウェアが登場したか。今回は、悪質なアップグレードを遂げたCloudZリモートアクセスツール(RAT)だ。新たにPhenoというプラグインが追加され、これが…まあ、信じられないほど面倒で、潜在的に破壊的なことをやらかしている。本来、スマホとPCを連携させるためのMicrosoft Phone Linkアプリケーションに寄生し、その接続を利用して、モバイル端末自体に一切触れることなく、ワンタイムパスワード(OTP)やテキストメッセージといった機密性の高いメッセージを吸い上げているのだ。
これは単なる理論上の脅威ではない。Cisco Talosの研究者たちが本日、その情報を公開し、1月から静かに進行していた侵入の詳細を明らかにした。その目的は、まずまず予想通りだろう。認証情報の窃取と、我々のデジタルライフを「かろうじて」安全に保つための、あの貴重で一時的なパスコードの盗難だ。
Microsoft Phone Link。おそらく皆さんも利用しているだろう。Windows 10や11に標準搭載されており、通話やテキスト、スマホからの通知を知らせてくれる。便利、というよりむしろ。どうやら、悪意ある攻撃者にとっては、それを武器化するのに十分なほど便利らしい。この無害に見えるリンクを乗っ取ることで、彼らはスマホ宛てのメッセージを傍受している。脱獄(jailbreak)もroot化も必要ない。
巧妙なアクセス、盗まれた秘密
Phenoプラグイン。これが今回のホラーショーの主役だ。Cisco Talosによれば、これはアクティブなPhone Linkセッションを監視している。セッションを検知すると、アプリケーションのローカルSQLiteデータベースに潜り込む。なぜか? そのデータベースにはSMSメッセージや、ご想像の通りOTPが含まれている可能性があるからだ。つまり、ログインコード付きのテキストメッセージが届いたとする。もしあなたが不運にも標的となっていたら、攻撃者もそれを受け取るのだ。おそらく、あなたがスマホでそれを見るよりも前に。このマジックの肝は、攻撃者があなたのスマホに侵入する必要がないこと。彼らが必要なのは、Phone Linkが動作しているあなたのPCに侵入することだけだ。まるで、個人の家の鍵をピッキングせずに、共有ポストボックスから郵便物を盗むようなものだ。
「被害者のマシンでPhone Linkの活動が確認された場合、CloudZ RATを使用する攻撃者は、被害者のマシン上のPhone LinkアプリケーションのSQLiteデータベースファイルを傍受できる可能性があり、SMSベースのOTPメッセージやその他の認証アプリの通知メッセージを侵害する可能性があります」とCisco Talosの研究者は説明している。
そして、CloudZ自体も決して軽量なソフトウェアではない。Phenoのテレパシーのようなメッセージング機能に加え、このRATはブラウザデータを漁り、システムをプロファイリングし、攻撃者が望むほぼすべてのことを実行できる。ファイルの管理、コマンドの実行、画面録画、そして一般的にあなたのコンピュータを自分だけの遊び場にする。彼らはHTTPトラフィックを通常のブラウザリクエストのように見せかけるためにユーザーエージェント文字列をローテーションさせ、コマンド&コントロールサーバーをより掴みにくくするためにアンチキャッシングヘッダーさえ配置している。残念ながら、洗練された代物だ。
どうやって侵入するのか?
最初の侵入口は? それはまだ少々曖昧だ――研究者たちはそれを特定できていない。しかし、彼らが観察した感染チェーンは、ユーザーが偽のScreenConnectアップデートだと思いクリックすることから始まる。これによりRustで書かれたローダーがドロップされ、次に.NETで書かれた別のローダーが展開される。この.NETローダーが最終的にCloudZ RATをインストールし、永続化のためにスケジューリングされたタスクを使用してセットアップするのだ。そして、解析を妨害しようとしていると考えてはいけない。この.NETローダーは、サンドボックス、WiresharkやFiddlerのような解析ツールをチェックし、VM関連の文字列さえ探す。彼らは自分たちの汚い仕事を解剖されたくないのだ。
これに対して実際に防御できるのか?
Ciscoのアドバイスは…まあ、長年我々が言ってきたことと同じだ。可能であればSMSベースのOTPは廃止しよう。適切な認証アプリを使用すること。そして、本当に機密性の高いものについては? ハードウェアキーを考えよう。メッセージに依存しないもの、つまり…まあ、正規のソフトウェアを使っているマルウェアに傍受される可能性のあるメッセージに依存しないものだ。
Cisco Talosは、IoCs(侵害の兆候)のリストを親切にも公開している――ブロックする必要のあるURL、ハッシュ、ドメイン、IPアドレスだ。だから、もしあなたがセキュリティチームを運営しているなら、それをチェックするといい。残りの我々にとっては、攻撃対象領域はインターネットだけではない、というもう一つのリマインダーだ。それは、我々自身がマシンで有効にする便利な機能でもある。
このPhone Linkの悪用全体は、典型的なシリコンバレーの動きのように感じる。物事を簡単にするための機能を構築し、誰かがそれを壊す方法を見つけるまで待つ。誰がここで儲けているのか? マルウェア作者、明らかだ。そして、MicrosoftはOSライセンスでいくらか儲けているかもしれないが、おそらく今はこの余波に対処するためにより多くを費やしているだろう。ユーザーは? 彼らはただ、自分の電話が自分のラップトップと会話したせいで、銀行口座が空になるのを避けようとしているだけだ。
これはCloudZだけの問題ではない。我々が求める相互接続性の問題なのだ。デバイスをリンクすればするほど、Phenoのような脅威がそれらの橋を悪用する機会を増やすことになる。
--- ### 🧬 関連インサイト - **もっと読む:** [CanisterWorm: サイバー犯罪者がイランの緊張を悪用しクラウドデータを強奪](https://threatdigest.io/article/canisterworm-cybercrooks-hijack-iran-tensions-for-cloud-data-heists/) - **もっと読む:** [サイバー保険ガイド:企業が補償について知っておくべきこと](https://threatdigest.io/article/cyber-insurance-guide-what-businesses-need-to-know-about-coverage/) よくある質問
Phenoプラグインは何をしますか? PhenoはCloudZ RATのプラグインで、Microsoft Phone Linkの活動を監視し、ローカルデータベースにアクセスして、被害者のコンピュータからSMSメッセージとワンタイムパスワード(OTP)を盗みます。
これは私のiPhoneに影響しますか? Microsoft Phone LinkはiOSもサポートしていますが、Cisco Talosのレポートでは特にSMSメッセージとOTPの傍受能力に言及しています。これらはAndroidデバイスやWindows連携ではより一般的です。強調されている主なリスクは、Windowsマシンに接続されたAndroidフォンユーザーにあります。
SMS OTP窃盗から身を守る最善の方法は何ですか? セキュリティ研究者は、重要なアカウントのSMSベースOTPの使用をやめることを強く推奨しています。代わりに、Google AuthenticatorやAuthyのような専用の認証アプリを使用するか、ハードウェアセキュリティキー(例:YubiKey)のようなフィッシング耐性のある方法を検討してセキュリティを強化してください。CloudZマルウェアのPhone Link悪用は、SMS OTPをさらに危険なものにしています。
