{{WhatsAppマルウェア攻撃：VBSとMSIバックドアの手口}}

{{## はじめに Microsoftは、WhatsApp経由で配布されるVBSファイルから始まり、悪意のあるMSIインストーラーによる永続的なリモートアクセスで終わる高度なマルウェアキャンペーンの詳細を公開しました。IT部門とセキュリティチームにとって重要なのは、攻撃者が正規のWindowsツールと信頼されたクラウドプラットフォームを悪用しており、その活動が通常の企業トラフィックと見分けにくくなっている点です。

このキャンペーンの新しい点

Microsoft Defender Expertsは、このキャンペーンが2026年2月下旬に始まったことを観測しました。攻撃チェーンには、検知回避と長期的なアクセス維持を目的とした複数の段階が含まれています。

• WhatsAppを通じた初期侵入: 攻撃者はWhatsAppメッセージ経由で悪意のある.vbsファイルを送り、利用者が慣れ親しんだコミュニケーションアプリへの信頼を悪用します。
• 名前を変更したWindowsツールの使用: スクリプトはcurl.exeやbitsadmin.exeのような正規ユーティリティをコピーし、netapi.dllやsc.exeのような紛らわしいファイル名に変更します。
• 信頼されたクラウドサービスからのペイロード配信: 二次ペイロードはAWS S3、Tencent Cloud、Backblaze B2などのサービスからダウンロードされます。
• 権限昇格と永続化: マルウェアはUAC関連のレジストリ設定を改ざんし、昇格されたコマンド実行を繰り返し試みます。
• 最終段階のMSIバックドア: Setup.msi、WinRAR.msi、LinkPoint.msi、AnyDesk.msiなどの未署名MSIファイルが、リモートアクセス確立に使われます。

なぜ重要なのか

このキャンペーンは、防御側が近年より頻繁に目にしている複数の傾向を組み合わせています。

• ネイティブなWindowsバイナリを使うLiving-off-the-land techniques
• 正常なトラフィックに紛れ込むクラウドホスト型マルウェア配信
• コンシューマー向けメッセージングプラットフォームを使ったソーシャルエンジニアリング
• 管理環境では通常の処理に見える可能性があるMSIインストーラーによる永続化

注目すべき検知ポイントの1つは、ファイルの実際の名前と、埋め込まれたOriginalFileName PEメタデータとの不一致です。このメタデータを検査できるセキュリティツールは、名前を変更したバイナリをより効果的に特定できる可能性があります。

IT管理者への影響

セキュリティチームとエンドポイント管理チームは、ファイル種別だけを基準にブロックしても十分ではないと考えるべきです。このキャンペーンは、隠しフォルダー、信頼されたダウンロード元、正規の管理ツールを使うことで、表面的な確認を回避できます。

Microsoft Defenderを利用している組織は、特に次の点に注意する必要があります。

• 信頼できないパスからのスクリプトホスト動作（wscript、cscript、mshta）
• UACの動作に関連するレジストリ変更
• 未署名MSIの実行
• ペイロードのステージングに使われるクラウドオブジェクトストレージへのネットワーク接続
• 名前を変更したバイナリや不審なコマンドラインフラグに関連するエンドポイント検知

推奨される次の対策

• 信頼できない場所でのスクリプト実行を制限します。
• Microsoft Defender Antivirusでcloud-delivered protectionを有効にします。
• Defender for Endpoint EDR in block modeを実行し、他の制御で見逃したアーティファクトを阻止します。
• AWS、Tencent Cloud、Backblaze B2からの不審なダウンロードについてクラウドトラフィックを監視します。
• 信頼できる相手に見えても、予期しないWhatsApp添付ファイルは開かないようユーザー教育を行います。

このキャンペーンは、信頼されたアプリ、正規ツール、一般的なクラウドサービスであっても武器化され得ることを示しています。防御側は、エンドポイントテレメトリ、クラウドトラフィックの可視化、ユーザー意識向上を組み合わせて、リスク低減を図る必要があります。}}