「ご招待します!」
親しみやすく、見慣れた、そして一見まったく無害に聞こえます。しかし私たちが最近確認した詐欺では、このシンプルな一言が、被害者をだましてWindowsコンピューターに完全なリモートアクセスツールをインストールさせるために使われていました。これにより攻撃者はシステムを完全に制御できてしまいます。
気軽なパーティーやイベントの招待状に見えるものが、ScreenConnect のサイレントインストールへとつながります。ScreenConnectは正規のリモートサポートツールですが、バックグラウンドでひそかにインストールされ、攻撃者に悪用されます。
この詐欺の仕組み、なぜ効果的なのか、そして身を守る方法を紹介します。
メール:パーティー招待状
被害者には、個人的な招待として装ったメールが届きます。多くの場合、友人や知人から来たように見える文面です。メッセージは意図的にくだけた社交的なトーンで書かれており、警戒心を下げ、素早い行動を促します。
下のスクリーンショットでは、ハッキングされた友人のメールアカウントから届いていましたが、知らない送信者から届く可能性も同様にあります。
今のところ、このキャンペーンが英国の人々を標的にしている例しか確認できていませんが、他地域へ拡大するのを妨げるものは何もありません。
メール内のリンクをクリックすると、攻撃者が管理するドメイン上にホストされた、作りの整った招待ページへ誘導されます。
招待:インストーラーへつながるランディングページ
ランディングページはパーティーのテーマを強く押し出していますが、イベント詳細を示す代わりに、ユーザーにファイルを開かせる方向へ誘導します。個々は危険に見えなくても、組み合わさることでユーザーの注意を「招待状」ファイルに集中させます。
- 太字の「ご招待します!」という見出し
- 友人が招待状を送ったという示唆
- 招待状はWindowsのノートPCまたはデスクトップで見るのが最適だというメッセージ
- 招待状がすでに「ダウンロード中」であることを示すカウントダウン
- 緊急性と社会的証明を匂わせるメッセージ(「私は自分のを開いたけど、とても簡単だったよ!」)
数秒以内に、ブラウザーは RSVPPartyInvitationCard.msi のダウンロードへリダイレクトされます。
このページは、被害者が立ち止まって考える前に先へ進むよう、ダウンロードを自動的に開始させることさえあります。
このMSIファイルは招待状ではありません。インストーラーです。
来客:MSIが実際に行うこと
ユーザーがMSIファイルを開くと、msiexec.exe が起動し、正規のリモートアクセスツールである ScreenConnect Client をサイレントにインストールします。これはITサポートチームがよく使用するツールです。
招待状も、RSVPフォームも、カレンダー登録もありません。
代わりに起きること:
- ScreenConnect のバイナリが
C:\Program Files (x86)\ScreenConnect Client\配下にインストールされる - 永続的なWindowsサービスが作成される(例:ScreenConnect Client 18d1648b87bb3023)
- ScreenConnect が複数の .NET ベースのコンポーネントをインストールする
- リモートアクセスツールがインストールされていることを示す明確なユーザー向け表示がない
被害者の視点では、ほとんど何も起きていないように見えます。しかしこの時点で、攻撃者はそのコンピューターへリモートアクセスできるようになります。
二次会:リモートアクセスが確立される
インストールされると、ScreenConnectクライアントは、固有に割り当てられたインスタンスドメインを含むScreenConnectのリレーサーバーへ、暗号化されたアウトバウンド接続を開始します。
その接続により、攻撃者はリモートIT技術者と同等のアクセス権を得て、次のことが可能になります。
- 被害者の画面をリアルタイムで見る
- マウスとキーボードを操作する
- ファイルをアップロードまたはダウンロードする
- PCを再起動してもアクセスを維持する
ScreenConnectはリモートサポートに一般的に使われる正規ソフトウェアであるため、その存在が常に明らかとは限りません。個人用PCでは、説明のつかないカーソル移動、勝手に開くウィンドウ、ユーザーがインストールした覚えのないScreenConnectプロセスなど、挙動面の兆候が最初に現れることが多いです。
この詐欺が成立する理由
このキャンペーンが効果的なのは、普通で予測可能な人間の行動を狙っているからです。行動セキュリティの観点では、私たちの自然な好奇心を突き、低リスクに見せかけています。
多くの人は、招待状が危険だとは考えません。開く行為は、チラシに目を通したりメッセージを確認したりするような受動的なものに感じられ、ソフトウェアをインストールする行為だとは思いにくいのです。
セキュリティ意識の高いユーザーでさえ、警告や圧力に注意するよう訓練されています。友好的な「ご招待します」というメッセージでは、その警戒アラームが鳴りません。
違和感を覚えたときには、すでにソフトウェアがインストールされています。
コンピューターが影響を受けている可能性のある兆候
次の点に注意してください:
RSVPPartyInvitationCard.msiという名前のファイルのダウンロード、または実行- ScreenConnect Client の予期しないインストール
- ランダムな文字列を含む ScreenConnect Client という名前のWindowsサービス
- ScreenConnect のリレードメインへのアウトバウンドHTTPS接続が発生している
- このキャンペーンで使用された招待状ホスティングドメイン xnyr[.]digital をシステムが名前解決している
安全を保つ方法
このキャンペーンは、現代の攻撃が「侵入」するのではなく、「招き入れられる」ことが多いという事実を思い出させます。リモートアクセスツールは、攻撃者にシステムへの深い制御権を与えます。迅速に行動すれば、被害を抑えられます。
個人向け
このようなメールを受け取った場合:
- ソフトウェアのダウンロードや実行を求める招待状は疑う
- 迷惑メール(未承諾メール)からMSIファイルを絶対に実行しない
- 何かを開く前に、別の手段で招待の真偽を確認する
すでにクリックした、またはファイルを実行してしまった場合:
- 直ちにインターネット接続を切断する
- ScreenConnect を確認し、存在する場合はアンインストールする
- フルスキャンを実行する
- クリーンで影響を受けていない別のデバイスから重要なパスワードを変更する
組織向け(特に英国)
- 不正な ScreenConnect インストールを検知・警告する
- 可能な範囲でMSIの実行を制限する
- 「リモートサポートツール」を高リスクソフトウェアとして扱う
- ユーザー教育:招待状はインストーラーとして届かない
この詐欺は、ユーザーの明確な意図がないまま正規のリモートアクセスツールをインストールさせることで成立します。まさにそのギャップを検知するために、Malwarebytes は設計されています。
Malwarebytes は新たにインストールされたリモートアクセスツールを検知し、システム上に現れた際に警告します。その後、選択肢が提示されます。ツールが想定どおりで信頼できるものだと確認するか、そうでなければ削除します。
