Microsoft Edgeがスパイツールに?ロシア系ハッカーによる最新サイバー攻撃の全貌
ウクライナの政府機関や組織を標的にした新たなサイバー攻撃が発覚した。今回の攻撃では、普段多くの人が利用するブラウザ「Microsoft Edge」が悪用され、気づかぬうちに監視ツールとして機能させられていたという。従来のマルウェアとは一線を画す手法に、セキュリティ業界でも警戒が高まっている。
巧妙化するサイバー攻撃の背景
2026年2月に確認されたこの攻撃キャンペーンは、ロシア系ハッカーによるものと見られている。過去にウクライナ防衛関連組織を狙った「Laundry Bear(UAC-0190 / Void Blizzard)」の活動と類似点があり、同一または関連グループによる可能性が指摘されている。
今回の特徴は、「合法的なテーマ」を装った誘導だ。Starlinkの導入や慈善団体「Return Alive」など、信頼性の高い話題を餌にユーザーを誘導し、不正なプログラムを実行させる。こうした心理的トリックにより、ユーザーは攻撃に気づきにくい。
Microsoft Edgeが悪用された仕組み
この攻撃の核心は、Edgeブラウザの機能そのものを利用している点にある。攻撃者は「DRILLAPP」と呼ばれるJavaScriptベースのバックドアを展開し、ブラウザ経由で端末へアクセスする。
特に問題となるのは、以下のような挙動だ。
-
ローカルファイルへのアクセス
-
マイクによる音声録音
-
Webカメラでの映像取得
-
スクリーンショットの取得
通常、これらの機能はユーザーの許可が必要だが、攻撃では特定の起動オプションを付与したEdgeを「ヘッドレスモード」で実行することで、ユーザー操作なしにこれらの権限を取得していた。
感染の流れと持続性の確保
攻撃は複数段階で構成されている。最初の侵入では、Windowsのショートカットファイル(LNK)が利用される。このファイルが実行されると、一時フォルダにHTMLアプリケーション(HTA)が生成され、外部のスクリプトをダウンロードする。
さらに厄介なのが「永続化」の仕組みだ。悪意あるLNKファイルはスタートアップフォルダにコピーされ、PCを再起動しても自動的に再実行される。これにより、長期間にわたり監視が継続される。
「見えない監視」デジタルフィンガープリントの恐怖
このマルウェアは単なる情報収集にとどまらない。初回起動時に「Canvasフィンガープリンティング」という技術を使い、デバイス固有の識別情報を生成する。
これにより攻撃者は、
-
端末ごとの識別
-
国・地域の特定(タイムゾーンから推測)
-
行動の追跡
といった高度な監視を実現している。さらに通信には正規サービスが悪用されており、不審なトラフィックとして検知されにくい点も危険だ。
なぜブラウザが狙われるのか
近年、ブラウザは単なる閲覧ツールではなく、業務やコミュニケーションの中心となっている。そのため、ブラウザを掌握すれば、ユーザーの活動全体を把握できる。
特に今回のように、
-
正規ソフトを悪用する「Living off the Land」戦術
-
ファイルレスに近い攻撃手法
-
ユーザー操作を必要としない実行
といった特徴は、従来のウイルス対策ソフトでは検知が難しい。
被害を防ぐための具体策
こうした高度な攻撃に対抗するには、基本的な対策の徹底が不可欠だ。
まず重要なのは、不審なファイルを開かないこと。特にLNKファイルや見慣れないショートカットは注意が必要だ。また、OSやブラウザを常に最新の状態に保つことで、既知の脆弱性を悪用されるリスクを減らせる。
さらに、企業レベルでは以下の対策が求められる。
-
エンドポイント検知・対応(EDR)の導入
-
ブラウザの実行ポリシー制御
-
不審なスクリプト通信の監視
-
従業員へのセキュリティ教育
まとめ:日常ツールが最大のリスクに変わる時代
今回の事例は、日常的に使っているソフトウェアが攻撃の入口になり得ることを示している。特にブラウザのような汎用ツールは、利便性と引き換えにリスクも抱えている。
サイバー攻撃はますます巧妙化しており、「怪しいファイルを開かない」という基本だけでは防ぎきれないケースも増えている。だからこそ、技術的対策とユーザー意識の両面から防御を強化することが、今後ますます重要になるだろう。
