Generatived（Beta）｜生成AIの最新ニュースとトレンドを提供

Microsoft Defender の専門家は、サイバー犯罪グループ Storm-2561 が仕掛けた高度な認証情報窃盗キャンペーンを発見しました。攻撃者は、SEO ポイズニングを利用して、正規の VPN ソフトウェアを探しているユーザーを悪意のある Web サイトに誘導しています。これらのサイトは、VPN クライアントを装ったトロイの木馬を含む ZIP ファイルを配布し、VPN 認証情報を窃取します。2025 年 5 月以降に活動を開始したこのキャンペーンは、ユーザーが検索エンジンの結果と正規のソフトウェアの外観を信頼していることを利用して、攻撃を実行しています。

Storm-2561による最近の攻撃キャンペーンでは、SEO操作を通じてマルウェアを拡散し、攻撃者が管理するGitHubリポジトリから偽のVPNクライアントをダウンロードさせるように仕向けていました。現在無効化されているこれらのリポジトリには、正規のVPNソフトウェアに見せかけた悪意のあるインストーラーを含むZIPファイルがホストされていました。このトロイの木馬は、既に失効した正規の証明書で署名されており、悪意のあるDLLファイルと共にインストールされることで、信頼できるアプリケーションに見せかけながら検出を回避し、認証情報を盗み出すことが可能になっていました。

マイクロソフトの脅威インテリジェンスは、Storm-2561が使用する戦術の分析結果を発表しました。特に、悪意のあるソフトウェアの正当性を高めるソーシャルエンジニアリングの手法が注目されています。また、Microsoft Defenderユーザー向けに、対策推奨事項と検出に関するガイダンスも公開しました。ガイダンスには、クラウドベースの保護機能の有効化、エンドポイント検出・対応（EDR）のブロックモードでの実行、多要素認証（MFA）の適用などが含まれています。

こうした認証情報窃盗攻撃への対策として、マイクロソフトはいくつかのセキュリティ対策を推奨しています。これには、クラウドベースの保護機能の有効化、EDRのブロックモードでの使用、ネットワーク保護の有効化、SmartScreen搭載ブラウザの使用促進などが含まれます。さらに、Microsoft Defenderをご利用のお客様は、検出結果一覧や高度なハンティングクエリを利用して、ネットワーク内の関連する悪意のある活動を特定できます。