WhatsApp新攻撃:Microsoftが全利用者に出した緊急警告と今すぐできる対策
冒頭文
Microsoft Defenderの調査チームが、WhatsAppを悪用して配布される悪意あるVisual Basic Script(VBS)ファイルによる新たなマルウェアキャンペーンを公表した。攻撃はVBSの実行から始まり、クラウドストレージ経由で追加ペイロードを取得してMSIインストーラーを用いた永続化を行うなど多段階で進行する。さらに一部ではiPhone向けに偽装アプリやスパイウェアに関する通知も出ており、個人・企業を問わず広範な注意が必要だ。以下で攻撃の特徴、影響範囲、検出ポイント、Microsoftおよびセキュリティ機関が推奨する具体的対策を整理する。Microsoft+1
- 概要:何が起きているのか
- 攻撃の手口(技術的な流れ)
- 影響範囲と実例
- なぜこの攻撃が特に危険なのか
- 検出のために見るべきポイント
- Microsoftおよびセキュリティ機関が推奨する具体的対策
- 事後対応(感染が疑われる場合の手順)
- まとめ:今すぐ行うべきこと
概要:何が起きているのか
2026年2月下旬に始まったとされる本キャンペーンは、WhatsAppメッセージの添付ファイルとして送られるVBSファイルを入口にし、ユーザーがそれを実行すると静かに追加の不正ペイロードをダウンロードして実行する。攻撃者は標準的なWindowsユーティリティを改名して通常のプロセスに紛れ込ませ、Amazon Web Services、Tencent Cloud、Backblaze B2といった信頼されるクラウドサービスをホスティングに悪用している点が特徴だ。最終的には未署名のMSIパッケージをインストールしてリモートアクセスやデータ持ち出しを可能にする永続化を確立する。Microsoftは詳細な技術レポートでこれらの手口を公開している。Microsoft
攻撃の手口(技術的な流れ)
攻撃の典型的な流れは次の通りだ。まず攻撃者がWhatsAppで標的に接触し、信頼を利用してVBSファイルを送付する。受信者がファイルを開くとVBSが実行され、遅延実行や正規ツールの改名、レジストリ操作などを使って検知を逃れつつ外部サーバーから追加ペイロードを取得する。取得先は大手クラウドプロバイダやバックアップ向けストレージであり、これにより通信が正規サービスへ向かうため監視をすり抜けやすくなる。最終段階で悪意あるMSIを展開し、リモート接続ツール(正規ツールを悪用する場合もある)を使って攻撃者が継続的にアクセスを確保する。これによりファイル窃取や横展開、さらなるマルウェア展開が可能になる。複数のセキュリティ調査でも同様のフローが確認されている。CSO Online+1
影響範囲と実例
WhatsAppの全世界のアクティブユーザー数は数十億単位であり、プラットフォームを狙ったフィッシングは潜在顧客が非常に多い。Microsoftの警告公開後、Meta(WhatsApp運営)は一部iPhone利用者に対してアプリのアンインストールと再インストール、再ログインを促す通知を出すなど、iOSを狙った偽アプリやスパイウェア関連の事象も報告されている。実際に一部報道ではイタリアを中心に約200件の偽装アプリインストールによる標的型攻撃が確認されたとされる。利用者のプラットフォーム(Windows/iOS/Android)により攻撃の入り口や影響の出方は異なるが、個人・企業問わず注意が必要だ。フォーブス+1
なぜこの攻撃が特に危険なのか
攻撃成功の鍵は「信頼の悪用」にある。WhatsAppは連絡手段として日常的に使われ、見知らぬ送信元でない限り添付ファイルへの警戒が比較的薄くなる。さらに攻撃はクラウドの正規サービスや通常のOSツールを悪用するため、従来のシグネチャ検出や単純な振る舞い分析だけでは見逃されやすい。組織で個人用メッセンジャーを業務デバイスで使用している場合、企業の防壁が個人アプリの挙動をカバーしきれない点もリスクを高めている。IT Pro
検出のために見るべきポイント
ログとシステム異常からは以下のような兆候を観測できる可能性がある。まず見慣れないMSIのインストール履歴や署名なしインストーラーの存在、不審なレジストリエントリ、改名されたWindowsユーティリティの実行履歴、外部クラウドサービスへの疑わしいトラフィック(特に大手クラウドへの突発的なPOST/GET)。また、遠隔操作ツールの痕跡や定期的なビーコン通信、通常業務と無関係な大量ファイル転送も重要な検知手がかりだ。エンドポイント検出(EDR)のアラート、SIEMにおける異常接続、アンチウイルスの未検出ファイルのハッシュ追跡などを組み合わせると早期発見に繋がる。Microsoft+1
Microsoftおよびセキュリティ機関が推奨する具体的対策
Microsoftや各セキュリティ機関は次のような対策を挙げている。まず、出所不明の添付ファイル(特にスクリプトや実行ファイル)は絶対に開かない。WhatsAppのようなメッセージングアプリ経由で送られてきたファイルは、受信側で一度ダウンロードしてもローカルで開く前にウイルススキャンやサンドボックス解析を行う。企業環境ではメッセージングアプリの利用ポリシーを明確化し、個人用メッセージアプリを業務端末で制限する、あるいはコンテナ化することが推奨される。iPhoneでのスパイウェア疑いがある場合はアプリの再インストールやOSのアップデート、必要ならば端末の初期化を検討する旨の通知も出ている。加えて、二要素認証の有効化、システムとアプリの常時最新化、信頼できるEDR/MDRの導入、バックアップの分離保持といった基本的なセキュリティ対策は不可欠だ。Microsoft+1
| 対象 | 攻撃手法の要点 | 推奨される即時対策 |
|---|---|---|
| Windows利用者 | WhatsApp添付のVBS実行 → クラウド経由でMSIを取得・永続化 | 添付ファイルを開かない、EDRで未署名MSI検出、OS更新 |
| iPhone利用者 | 偽アプリ/スパイウェアの配布報告あり | アプリ再インストール、iOS更新、必要時端末初期化 |
| 組織(管理者) | 個人アプリが業務端末に入り込むことで境界が拡大 | メッセージアプリ利用ポリシー、MFA、ログ監視、隔離バックアップ |
事後対応(感染が疑われる場合の手順)
端末に不審な動作や不可解な通信が見つかった場合、速やかに当該端末をネットワークから隔離し、メモリ/ディスクのフォレンジック取得、実行されたスクリプトとインストール履歴の解析を行う。発見されたハッシュやドメインは共有し、同一ネットワーク内での横展開がないか確認する。必要に応じてインシデント対応チームや外部の専門家にエスカレーションし、利用者への注意喚起とパスワードリセット、二要素認証の再設定を行う。Microsoftは同種攻撃に対するIOC(Indicator of Compromise)や検出ガイダンスを公開しているため、これらを参照して対処することが望ましい。Microsoft
まとめ:今すぐ行うべきこと
WhatsAppなどのメッセージングプラットフォームは利便性が高い反面、信頼に付け込んだ攻撃の入り口になり得る。まず個人は出所不明の添付ファイルを絶対に開かないこと、アプリとOSを最新に保つこと、二段階認証を有効化することを徹底するべきだ。企業は業務端末での個人用メッセージアプリの取り扱いを見直し、EDR/ログ監視の強化、定期的な脆弱性対応を迅速に行うべきだ。Microsoftや主要なセキュリティ機関が公開した技術情報と推奨策を参照し、疑わしい兆候があれば即時に対応を開始してほしい。Microsoft+2IT Pro+2
