Microsoftが警告する新型サイバー攻撃「Storm-2561」──偽VPNで企業認証情報を盗む巧妙な手口とは
Microsoftは2026年3月、企業ユーザーを標的とした新たなサイバー攻撃キャンペーン「Storm-2561」を確認したと発表した。この攻撃は、検索エンジンの結果を悪用し、正規ソフトに見せかけた偽VPNクライアントを配布することで、ユーザーの認証情報を盗み取る高度な手法を採用している。従来のフィッシングとは異なり、複数の「信頼要素」を組み合わせた点が特徴であり、企業セキュリティにとって重大な脅威となっている。
Storm-2561とは何か
Storm-2561は、Microsoftが追跡しているサイバー犯罪グループの名称で、2025年5月頃から活動が確認されている。主に企業ネットワークへの侵入を目的とし、VPNクライアントを装ったマルウェアを配布することで、ログイン情報や機密データを窃取する。
このグループの最大の特徴は、検索エンジン最適化(SEO)を悪用した「SEOポイズニング」と呼ばれる手法だ。ユーザーが正規のVPNソフトを検索すると、上位に表示される偽サイトへ誘導される仕組みになっている。
攻撃の流れと仕組み
今回の攻撃は、非常に巧妙な多段階プロセスで構成されている。
まず、ユーザーが企業で使用するVPNソフトを検索するところから始まる。検索結果の上位に表示される偽サイトにアクセスすると、正規のソフトウェアと見分けがつかないダウンロードページが表示される。
ダウンロードボタンをクリックすると、ユーザーはGitHub上にホストされたZIPファイルへとリダイレクトされる。このファイルには「VPN-CLIENT.zip」という名称が付けられており、信頼できるソースのように見える点がポイントだ。
ZIPファイルの中には、正規のVPNソフトを装ったインストーラーが含まれているが、実際にはマルウェアが仕込まれている。このインストーラーは一見正規のソフトに見えるよう設計されており、ユーザーに疑念を抱かせない。
さらに悪質なのは、インストール後の挙動だ。エラーメッセージを表示したり、正規サイトへリダイレクトすることで、「インストールが失敗しただけ」と思わせる巧妙な偽装が行われる。
マルウェアの内部動作
インストールされるマルウェアは、複数のコンポーネントで構成されている。
まず、正規のVPNファイルを模した実行ファイルがシステム内のそれらしいフォルダに配置される。これにより、ユーザーや管理者の目を欺く。
同時に、2つの悪意あるDLLファイルが展開される。一つはメモリ上で動作するローダーとして機能し、シェルコードを実行する。もう一つは情報窃取型マルウェアであり、ユーザーの認証情報やシステム情報を外部に送信する。
さらに、このマルウェアはWindowsのレジストリに自身を登録し、再起動後も自動的に実行されるよう設定されるため、長期間にわたって感染状態を維持することが可能となる。
なぜこの攻撃は危険なのか
Storm-2561の攻撃が特に危険視される理由は、「信頼」を悪用している点にある。
・検索エンジンの上位表示
・有名企業ソフトのブランド偽装
・GitHubという信頼性の高いプラットフォームの利用
・正規のコード署名に見える証明書
これらの要素が組み合わさることで、ユーザーは警戒心をほとんど持たずにマルウェアを実行してしまう。
特に企業環境では、急いでVPN接続を行う必要がある場面も多く、その心理的な焦りが攻撃成功率を高める要因となっている。
企業と個人が取るべき対策
このような高度な攻撃に対抗するためには、従来以上の注意が必要だ。
まず、ソフトウェアは必ず公式サイトから直接ダウンロードすることが重要である。検索結果からアクセスする場合でも、URLを慎重に確認する習慣を持つべきだ。
また、企業側はエンドポイントセキュリティの強化や、多要素認証の導入を進める必要がある。仮に認証情報が盗まれた場合でも、不正アクセスを防ぐことができる。
さらに、従業員へのセキュリティ教育も不可欠だ。特に「見た目が正しそうでも疑う」という意識を持たせることが、被害防止につながる。
まとめ
Storm-2561による攻撃は、単なるマルウェア配布にとどまらず、「検索」「ブランド」「信頼性」を巧みに組み合わせた新しいタイプの脅威である。
これまで安全だと考えられていた行動、例えば検索結果からソフトをダウンロードするという行為自体がリスクとなり得る時代に入っている。
今後も同様の手口は増加すると予想されるため、企業・個人ともにセキュリティ意識を一段と高め、正しい対策を講じることが求められる。
