Microsoft TeamsとSnowマルウェア：新しい脅威グループによる企業侵害 | 2026年4月28日

東京セキュリティブリーフィング 2026年04月28日（火曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年4月28日、火曜日でお送りしています。昨日公開されたセキュリティニュースから、皆さんの組織に影響を与える可能性のある重要なインシデントをピックアップしてお届けします。本日も多くのセキュリティ関連のニュースがありますので、しっかりお聞きください。

ヘッドライン

本日のトップニュースです。まず、ボイスフィッシング攻撃とブラウザ拡張機能マルウェアを組み合わせた新しい脅威グループによる企業ネットワークへの侵入が報告されています。次に、複数の大手企業がサイバー攻撃によって数百万件のデータを流出させた事件が相次いで明らかになっています。そして、Stuxnetより前の2005年にさかのぼるサイバーサボタージュマルウェアが新たに発見されました。さらに、産業用制御システムの重大な脆弱性チェーンが確認されています。これら複数のセキュリティインシデントについて、詳しく解説します。

詳細解説

Microsoft TeamsとSnowマルウェア：新しい脅威グループによる企業侵害

最初のニュースは、新たに特定された脅威グループUNC6692によるボイスフィッシング攻撃についてです。このグループは、ターゲットの企業メールボックスに大量のメールを送信した後、Microsoft Teamsを悪用して被害者に接触しています。攻撃者はIT部門のサポート従業員になりすまし、メール問題の解決を装ってフィッシングリンクへ誘導します。

被害者がリンクをクリックすると、メールボックス修復ユーティリティに見せかけたウェブサイトが表示されます。このサイトは被害者のブラウザを検出し、Microsoft Edge以外からのアクセスをEdgeへ切り替えるよう促す仕組みになっています。ページ上の「ヘルスチェック」ボタンをクリックすると、認証情報を入力するプロンプトが表示されますが、攻撃者は最初の2回のパスワード送信を意図的に拒否します。これは正当なシステムのように見せかけ、被害者に認証情報を複数回入力させるための工夫です。

バックグラウンドでは、Snowbeltというブラウザ拡張機能がインストールされます。このマルウェアはバックドアとして機能し、攻撃者が企業アカウントへの永続的なアクセスを維持することを可能にします。Snowbeltがインストールされると、さらにSnowGlazeとSnowBasinというマルウェアツール、AutoHotkyスクリプト、Pythonポータブル環境などの追加ペイロードがダウンロードされます。

複数企業のデータ漏洩：ShinyHuntersグループの活動拡大

一方、データ恐喝グループShinyHuntersは複数の大手企業から大量のデータを盗み、身代金を要求しています。ホームセキュリティ大手のADTでは、550万人以上の個人情報が漏洩しました。盗まれたデータには名前、電話番号、住所が含まれており、一部には生年月日と社会保障番号またはタックスIDの最後の4桁も含まれていました。ただしADTは、支払い情報はアクセスされず、顧客のセキュリティシステムは影響を受けていないと述べています。

医療機器大手のMedtronicでは、900万件以上のレコードが盗まれたと報告されています。同社は顧客ネットワークと製品は影響を受けていないと述べていますが、企業IT システムへのアクセスは確認されました。

クルーズ会社のCarnivalでは、子会社Holland America Lineのロイヤリティプログラムから870万件以上のレコードが流出しました。流出データには会員の名前、生年月日、性別、メンバーシップステータスの詳細が含まれています。少なくとも750万個の一意なメールアドレスがHave I Been Pwned?に登録されています。

これらの企業への攻撃では、ShinyHuntersは身代金交渉に応じない企業に対して、盗まれたデータを公開すると脅迫しています。

CODESYS脆弱性チェーン：産業用制御システムへのバックドア化

産業オートメーション分野で広く使用されているCODESYS Controlランタイムに、複数の重大な脆弱性が発見されました。研究者Nozomi Networks Labsは3つの脆弱性を特定しており、これらを組み合わせると、低権限の認証済み攻撃者がシステムを完全に制御できます。

まず、CVE-2025-41658（CVSS 5.5）は、ローカルユーザーが機密ファイルにアクセスできる不正なデフォルトパーミッションです。これによりパスワードハッシュをオフラインで抽出できます。

次に、CVE-2025-41659（CVSS 8.3）は、デバイスに保存された暗号化資料への不正アクセスを可能にします。

そして、CVE-2025-41660（CVSS 8.8）は、改ざんされたプロジェクトファイルのシームレスなアップロードと復元を可能にする欠陥です。

攻撃チェーンでは、まず弱いパスワードやエンジニアのワークステーション侵害によってサービスレベル認証情報が取得されます。その後、攻撃者はデバイスのアプリケーションをバックアップファイルとしてダウンロードします。これはZIPアーカイブで、アプリケーションバイナリと非暗号化されたCRC32チェックサムを含みます。CVE-2025-41659を使用して暗号化キーが抽出され、コード保護がバイパスされます。攻撃者はバイナリにリバースシェルなどの悪意のあるコードを注入し、CRC32チェックサムを再計算してファイルを正当に見せかけます。CVE-2025-41660を悪用してこの改ざんされたバックアップがPLCに復元され、サイステムが再起動するとバックドアはルート権限で実行されます。この脆弱性チェーンにより、攻撃者はモジュールファームウェアを置き換え、機密の運用レイアウトを抽出し、物理制御を直接操作することができます。CODESYSはこれらの脆弱性をバージョン4.21.0.0およびRuntime Toolkitバージョン3.5.22.0でパッチしています。

Stuxnetより5年前のサイバーサボタージュマルウェア発見

セキュリティ研究者SentinelOneが、2005年までさかのぼるマルウェアフレームワークを発見しました。fast16と呼ばれるこのマルウェアは、イランの核計画を破壊するために設計されたと考えられており、悪名高いStuxnetの攻撃より少なくとも5年前に開発されていました。

Fast16フレームワークは、Luaスクリプティングエンジンを埋め込んだサービスバイナリsvcmgmt.exeと、カーネルドライバfast16.sysで構成されています。カーネルドライバはブート開始ファイルシステムコンポーネントとして動作し、ディスクから読み込まれるときに実行可能コードをインターセプトして修正します。

このマルウェアは、高精度計算ソフトウェアを選別的にターゲットにし、メモリ内のコードをパッチして計算結果を改ざんします。Intel C/C++コンパイラでコンパイルされた実行ファイルを具体的にターゲットにし、101個の異なるパターンマッチングルールを備えたルール駆動型パッチエンジンを使用しています。

Fast16は、LS-DYNA 970、PKPM、およびMOHID水動力学モデリングプラットフォームなどの高精度エンジニアリングおよびシミュレーションスイートをターゲットにしていました。これらは衝突テストと構造解析に使用されます。物理的な計算に体系的なエラーを導入することで、科学研究プログラムを損なわせ、エンジニアリングされたシステムを低下させたり、壊滅的な被害をもたらしたりする可能性があります。

Fast16という名前は、2017年のNSAのShadowBrokersリークに表示されます。LS-DYNAソフトウェアとイランの核兵器開発研究の結びつきを考慮すると、fast16がStuxnetの数年前にイランの核プログラムに対して展開された可能性があることが示唆されています。

ボイスフィッシング攻撃による認証情報盗難の拡大

Mandiantのレポートによると、BlackFileと呼ばれる脅威グループが、小売業とホテル業界の企業を積極的に標的にしています。このグループはボイスフィッシング攻撃を通じてITヘルプデスク従業員になりすまし、被害者を騙してシングルサインオンのフィッシングページに誘導します。

攻撃者は内部従業員ディレクトリをスクレイプして経営幹部の連絡先リストを取得し、さらなるソーシャルエンジニアリングを通じてシニアアカウントを侵害します。その後、正当なエグゼクティブセッション活動を反映した環境への永続的で広範なアクセスを獲得します。攻撃者はSaaS環境、Microsoft Graph APIアクセス許可、Salesforce API、SharePointサイトからデータを盗みます。

その他の重要なセキュリティインシデント

Vidarマルウェアは、YouTubeの偽のソフトウェアダウンロードリンクを悪用して企業従業員を侵害し、認証情報をロシアのサイバー犯罪マーケットプレイスで販売しています。

Nessus Agent for Windowsの脆弱性CVE-2026-33694により、ローカルアクセス権を持つ攻撃者がジャンクション（ファイルシステムショートカット）を作成し、Nessus Agentをだまして任意のファイルを削除させることができます。これによりシステムの整合性が不安定になり、最終的には任意のコード実行につながります。

Metabase Enterpriseの脆弱性CVE-2026-33725により、攻撃者は遠隔コード実行とホストサーバに保存されている機密ファイルへのアクセスが可能になります。公開されたPoC（概念実証）エクスプロイトにより、パッチが適用されていないインスタンスは脅威にさらされています。

クロージング

本日は複数の重要なセキュリティインシデントをお伝えしました。ボイスフィッシング攻撃、マルウェア配信、脆弱性チェーン、大規模データ漏洩など、様々な脅威が組織を狙っています。特に、Microsoft Teamsなどの信頼されたプラットフォームを悪用した攻撃や、複数の脆弱性を組み合わせた攻撃に注意が必要です。皆さんの組織でも、従業員教育、多要素認証の導入、システムのパッチ適用を優先的に進めることをお勧めします。気になるニュースがあれば、ぜひ詳細をご確認ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。