偽VPNクライアントで認証情報を盗む新たなサイバー攻撃：Cisco・Fortinetなどを装う手口とは

企業ネットワークを狙うサイバー攻撃が高度化するなか、VPNソフトを装った新たな認証情報窃取キャンペーンが確認された。セキュリティ企業の調査によると、攻撃グループはCiscoやFortinetなど複数ベンダーのVPNクライアントを偽装し、ユーザーのログイン情報を盗み出す巧妙な手口を展開している。

今回の攻撃では、検索結果を操作して偽サイトを上位表示させるなど、一般ユーザーでも被害に遭う可能性がある点が大きな特徴だ。本記事では、このサイバー犯罪グループの手口や仕組み、そして企業や個人が取るべき対策について詳しく解説する。

• 偽VPNクライアントで認証情報を盗む新たなサイバー攻撃：Cisco・Fortinetなどを装う手口とは
  • VPNクライアントを装う新たな攻撃グループ「Storm-2561」
  • 検索結果を悪用する「SEOポイズニング」
  • GitHubを悪用したマルウェア配布
  • ログイン画面を偽装して認証情報を窃取
  • 発覚を遅らせる巧妙なカモフラージュ
  • 正規のデジタル証明書まで悪用
  • 企業とユーザーが取るべき対策
  • まとめ

VPNクライアントを装う新たな攻撃グループ「Storm-2561」

今回確認された攻撃は、「Storm-2561」と呼ばれるサイバー犯罪グループによるものとされている。この名称は、セキュリティ企業が調査中の新興攻撃グループに付ける識別番号で、活動の詳細が完全には解明されていない段階を示す。

このグループは2025年頃から活動が確認されており、主に以下の手法を組み合わせて攻撃を行っている。

・検索エンジンの結果操作（SEOポイズニング）
・企業ソフトウェアの公式サイトを模倣
・正規ソフトに見せかけたマルウェア配布

今回の攻撃では、企業ネットワークへの接続に広く利用されているVPNクライアントが標的になっている。

検索結果を悪用する「SEOポイズニング」

今回の攻撃の入り口となるのが「検索結果の操作」だ。攻撃者は検索エンジンの仕組みを悪用し、特定のキーワードで検索した際に偽サイトが上位に表示されるように仕組んでいる。

例えば、以下のような検索をした場合に被害が発生する可能性がある。

・Pulse VPN download
・Pulse Secure client
・Fortinet VPN download

ユーザーが検索結果の上位に表示されたサイトをクリックすると、公式サイトに似せて作られた偽ページに誘導される。このページでは「VPNクライアントのダウンロード」を装い、マルウェア入りのインストーラーが配布されている。

見た目は本物とほぼ区別がつかないため、ITに詳しいユーザーでも騙される可能性がある。

GitHubを悪用したマルウェア配布

偽サイトのリンクをクリックすると、ユーザーはさらに別の場所へリダイレクトされる。そこには、マルウェアが保存されたリポジトリが用意されている。

このリポジトリには、VPNクライアントを装ったWindows用インストーラー（MSIファイル）が置かれており、ユーザーがダウンロードして実行すると感染が始まる仕組みだ。

インストール処理の途中で、次のような不正なDLLファイルが読み込まれる。

・dwmapi.dll
・inspector.dll

これらは「DLLサイドロード」という手法で実行され、ユーザーに気付かれないままマルウェアが起動する。

ログイン画面を偽装して認証情報を窃取

偽VPNソフトは、見た目や操作感を本物のクライアントに近づけて作られている。そのため、ユーザーは違和感なくログイン情報を入力してしまう。

入力された情報は次のデータとして収集される。

・ユーザー名
・パスワード

これらの情報は攻撃者が管理するサーバーへ送信され、企業ネットワークへの侵入などに悪用される可能性がある。

特にVPN認証情報は、社内システムやクラウドサービスへのアクセスに直結するため、流出すると大きな被害につながる。

発覚を遅らせる巧妙なカモフラージュ

この攻撃が非常に厄介なのは、被害者に疑いを持たせない仕組みが組み込まれている点だ。

ユーザーが認証情報を入力した直後、アプリは次のようなエラーメッセージを表示する。

「インストールに失敗しました」

そして、その後に表示されるのが次の指示だ。

「公式サイトから正規のVPNクライアントをダウンロードしてください」

つまり攻撃の流れは以下のようになる。

1. 偽VPNソフトをインストール

2. ログイン情報を入力

3. 情報を攻撃者へ送信

4. エラーを表示

5. 本物のVPNダウンロードへ誘導

ユーザーは「インストールに失敗しただけ」と思い、本物のVPNを改めてインストールしてしまう。結果として、認証情報が盗まれたことに気付かないケースが多い。

正規のデジタル証明書まで悪用

さらに問題なのは、このマルウェアが有効なデジタル証明書で署名されていた点だ。

デジタル署名は通常、ソフトウェアの安全性を確認するための仕組みだが、攻撃者は実在企業の証明書を悪用していた。後にこの証明書は失効処理されたが、署名付きソフトであったため検知が遅れる要因となった。

企業とユーザーが取るべき対策

今回のような攻撃から身を守るためには、いくつかの基本的なセキュリティ対策が重要になる。

まず最も重要なのは、ソフトウェアのダウンロード元を必ず確認することだ。検索結果の上位に表示されたサイトでも、必ずしも公式とは限らない。

安全な対策としては次の方法が有効だ。

・VPNソフトは公式サイトのブックマークからダウンロード
・検索結果の広告リンクを避ける
・URLドメインを必ず確認する
・企業ではVPNソフト配布を社内ポータルに限定する

また、企業環境では多要素認証（MFA）の導入も重要になる。仮に認証情報が盗まれても、追加認証があれば不正ログインを防げる可能性が高い。

まとめ

VPNクライアントを装う今回の攻撃は、検索エンジン・GitHub・デジタル証明書といった正規の仕組みを悪用する点が特徴的だ。ユーザーの心理を突く巧妙な設計により、被害者が攻撃に気付かないまま情報が盗まれてしまう。

VPNは企業のセキュリティを守る重要なインフラだが、その信頼性を逆手に取る攻撃が増えている。ソフトウェアの入手経路やログイン画面を疑う習慣を持つことが、これからのセキュリティ対策では不可欠となるだろう。