- HPが警告:正規ソフトウェアがハッカーの最も危険な武器に
- 確定申告シーズンを狙ったフィッシングメールが、セキュリティスキャナーに検知されない侵入口を開く
- 偽の出会い系アプリのダウンロードで攻撃者に即座に完全なリモートアクセスを許す事例も
セキュリティ専門家が警告を発しています。サイバー犯罪者がLogMeInやScreenConnectといった正規のリモートアクセスアプリケーションを悪用し、標準的なセキュリティアラートを回避しながら被害者のデバイスを掌握しているというのです。
HPが公開した最新のThreat Insights Reportは、2026年1月から3月を対象期間としており、攻撃者が検知を回避するために悪意ある活動を通常のIT業務に意図的に溶け込ませている実態を記録しています。
本レポートは、同期間中にHP Wolf Securityを搭載した数百万台のエンドポイントから収集したデータをもとにしており、これらのキャンペーンが技術的な脆弱性の悪用ではなく、一貫してソーシャルエンジニアリングを中心とした手口を踏んでいることが明らかになっています。
「信頼」が武器に変わるとき
正規ソフトウェアが完璧な偽装手段となる理由は明確です。セキュリティツールは、すでに認識・信頼しているアプリケーションをフラグ立ての対象としにくいからです。
攻撃者が被害者のデバイス上で見慣れたリモートアクセスツールを操作していても、セキュリティスタックのどこにも警報は鳴りません。
この「見えない侵入」は最初のステップから始まります。攻撃者は確定申告シーズンを狙ったフィッシングメールや、出会い系サイトの偽インストーラーを含む不正なデスクトップアプリのダウンロードを利用して、ユーザーに攻撃者が制御するリモートアクセスツールをインストールさせるよう誘導していました。
一度インストールされると、それらのツールは通常のIT業務と見分けがつかない形で動作しながら、攻撃者にデバイスの完全な制御権を与えます。
HP Security LabのPrincipal Threat ResearcherであるPatrick Schläpfer氏は次のように述べています。「これらのキャンペーンで際立っているのは、正規のリモートアクセスツールがいかも簡単に攻撃者の侵入口へと変えられているかという点です」
「信頼されたソフトウェアと、確定申告の締め切りといったイベントに結びついた巧みなソーシャルエンジニアリングを組み合わせることで、何が信頼できて何が信頼できないかの判断はますます困難になっています」
同期間に発覚した別のキャンペーンでは、コード共有プラットフォームやメディアダウンロードサイトを通じて、偽の暗号資産ウォレット復元ツールが配布されていました。
これらのツールは失われたウォレットの回復を助けるどころか、認証情報やウォレットデータ、システム情報を窃取したうえで、すべてをアーカイブファイルにまとめて外部に送信するものでした。
これらの攻撃で使用されたスクリプトには絵文字が多用されており、AIによるコーディング支援の特徴が見られました。
これは、バイブコーディングツールが機能するマルウェアの開発ハードルをすでに引き下げていることを示唆しています。
マルウェアが「日常」に溶け込む
HPのレポートではさらに、説得力のある偽サイトやリアルなCAPTCHAプロンプトを通じて、マルウェアをオーディオファイルに偽装するClickFixキャンペーンも記録されています。
被害者は通常のセキュリティチェックを完了していると思い込みながら、気づかないうちにバックグラウンドで悪意あるコードを実行させられています。
同期間中にHP Wolf Securityが検知したメール脅威のうち、少なくとも11%が1つ以上のメールゲートウェイスキャナーを完全にすり抜けていました。
マルウェアの配送手段としては実行ファイルが39%で最多を占め、次いでアーカイブファイルが38%、PDFドキュメントが10%となっています。
HP Security LabのPrincipal Threat ResearcherであるAlex Holland氏はこう語ります。「これらの攻撃は不正侵入のようには見えません。通常のITの日常業務のように見え、マルウェアに関連する警告サインを出すことなく、普段のIT活動に溶け込んでいます」
Holland氏はさらに、組織は不必要な権限を制限し、ソフトウェアのインストールを管理し、ダウンロードや未知のリンクといったリスクの高い操作を隔離すべきだと付け加えました。
企業のセキュリティチームは、不審に見えるのではなく正当に見える攻撃を考慮して、防御策を見直すことが推奨されています。
