Security

EV署名フィッシングインストーラーがScreenConnectを配布

3分で読める

概要

Microsoft Defender Experts は、Teams、Zoom、Adobe Reader などの信頼されたアプリを装う偽の会議招待、請求書、文書の誘導でマルウェアインストーラーを配布するフィッシングキャンペーンを確認しました。注目すべき点は、これらのインストーラーが EV 証明書で署名され、ScreenConnect や Tactical RMM などの正規のリモート管理ツールを展開していたことです。これにより、通常の企業 IT 活動に紛れ込みやすい、秘匿性の高い初期アクセスが可能になります。

Securityでお困りですか?専門家に相談する

はじめに: なぜ重要なのか

脅威アクターは、商用の Remote Monitoring and Management (RMM) ツールを展開することで、正規の IT 運用にますます紛れ込むようになっています。今回のキャンペーンは、身近な「業務用アプリ」のブランド表示と EV code signing を利用してユーザーの警戒心を下げ、実行率を高めることで、この傾向をさらに一段進めています。ユーザーが会議アプリや文書ソフトを日常的にインストールする企業環境では、実用的な初期アクセス手法になり得ます。

新たに判明した点 / 主な調査結果

Microsoft Defender Experts は、未特定の脅威アクターによる複数のフィッシングキャンペーンを観測しました。主な特徴は次のとおりです。

  • 会議や文書を装った誘導: メールは会議招待 (Teams/Zoom/Google Meet)、請求書、財務文書、入札、組織通知を装っていました。
  • 偽 PDF とスプーフィングされたダウンロードページ: 一部のメッセージは「Open in Adobe」ボタン付きの偽 PDF を配信し、ユーザーを Adobe を模倣したダウンロードサイトへ誘導して「更新」を促しました。
  • 正規インストーラーを装う実行ファイル: ペイロードには、msteams.exeadobereader.exezoomworkspace.clientsetup.exeinvite.exetrustconnectagent.exe など、信頼されたインストーラーに見せかけた名前が使われていました。
  • EV 署名による信頼悪用: ドロッパーは、TrustConnect Software PTY LTD に発行された EV certificateデジタル署名されており、正規に見えるようにしていました。
  • RMM バックドアの展開: 実行後、ScreenConnectTactical RMMMesh Agent などの RMM ツールがインストールされ、持続的なリモートアクセスが可能になりました。

侵害が永続化を確立する仕組み (技術的ハイライト)

ScreenConnect を中心とした感染チェーンでは、「workspace」実行ファイルが次の動作を行いました。

  • 正規にインストールされたアプリに見せかけるため、自身を C:\Program Files にコピー。
  • 起動時の永続化のため、自身を Windows service として登録。
  • Run key による追加の自動実行を作成:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • 値名: TrustConnectAgent
    • 対象: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • 攻撃者のインフラ (特に trustconnectsoftware[.]com) へ外向き通信を実施。
  • encoded PowerShell を使用して追加ペイロードをダウンロードし、ステージングされた MSI ファイルから ScreenConnect をインストールするために msiexec.exe を呼び出し。

Microsoft は、MSI が未署名に見えるケースや、その後に revoked certificates で署名された ScreenConnect バイナリが続くケースを指摘しており、これは悪意ある、または未承認の展開でよく見られるパターンです。

IT 管理者とエンドユーザーへの影響

  • ユーザー は、会議への参加、請求書の確認、「古くなった」アプリの更新といった日常業務の流れの中で狙われます。
  • IT チームとセキュリティ チーム は、RMM エージェントが承認済みのリモートサポートに見えるため、攻撃者の活動を通常の管理ツール利用と見分けにくい可能性があります。
  • 侵害後のリスクが増大: service や autorun による永続化に加え、RMM ツールによって資格情報へのアクセス、リモート制御、ラテラルムーブメントが加速する可能性があります。

対応策 / 次のステップ

  • ソフトウェア インストール経路を強化する: 可能な限りユーザー主導のインストールを制限し、「インストーラー型」の実行ファイルに対して allowlisting (例: WDAC/App Control) を適用する。
  • RMM 利用を監査する: 承認済みの RMM ツールを棚卸しし、未承認エージェント (ScreenConnect/Tactical RMM/Mesh) や不審な service 作成をブロックまたはアラート対象にする。
  • コード署名の信頼判断を見直す: 「署名済み」はシグナルであって証明ではありません。新規または稀な発行元、異常な EV 署名バイナリを検知するロジックを追加します。
  • 永続化の指標をハンティングする: TrustConnectAgent Run key、予期しない service、不審な msiexec.exe と encoded PowerShell パターンを確認する。
  • フィッシング耐性を強化する: メールや PDF 経由の「更新が必要」プロンプトに関するユーザー向けガイダンスを徹底し、Defender の保護機能で添付ファイルやリンクを detonate/inspect する。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Defender Security Research Teamの元の記事を読む
Microsoft DefenderphishingRMMScreenConnectcode signing

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。