「ちょっとPCの調子が変なので、確認させてもらえますか」——もし仕事中にそんな電話がTeamsにかかってきたら、あなたはどうするでしょうか。相手はITサポートを名乗り、口調も丁寧。画面共有をお願いされ、案内どおりにソフトを一つ入れる。ごく普通のサポート対応に見えるやり取りの裏で、実は企業ネットワークがまるごと乗っ取られようとしている——。そんな攻撃が現実に起きています。今回の手口が不気味なのは、怪しいリンクも、見るからに危険なファイルも登場しないこと。悪用されるのは、私たちが毎日当たり前に使っているTeamsへの「信頼」そのものです。攻撃者はどうやって人の警戒心をすり抜けるのか。そして最新のマルウェアは、なぜこれほど止めにくいのか。順を追って見ていきます。
2026年7月6日、BleepingComputerが、Palo Alto NetworksのUnit 42による6月28日付レポートに基づき、Microsoft Teamsの音声通話を悪用したEtherRAT配布キャンペーンを報じた。攻撃はまず「従業員アンケート」を装ったフィッシングメールと悪意あるPDF添付から始まる。被害者が文書を開くと、「システム管理者」を名乗る外部アカウントからTeams通話が届く。
攻撃者は helpdesk@Progressive936.onmicrosoft[.]com を使い、ITサポートを装って外部チャットを開始した。画面共有機能でリモート操作を許可させたのち、HopToDeskやAnyDeskの導入を案内し、camorreado[.]click から悪意あるMSIインストーラー(v7.msi)を実行させる。MSIはNode.jsランタイムを取得しペイロードを復号してEtherRATを起動する。EtherRATはNode.js製のクロスプラットフォーム型RATで、EthereumのスマートコントラクトからC2サーバーを取得する。Unit 42は配布サーバー上でv1からv9までのインストーラーを発見した。
From:
Fake IT support calls on Microsoft Teams push EtherRAT malware
【編集部解説】
この攻撃で本質的に恐ろしいのは、EtherRATというマルウェアそのものではありません。攻撃者が「システム管理者」を名乗ってTeamsで電話をかけてくる、その一瞬です。私たちが毎日使っているコラボレーションツールが、そのまま攻撃の入り口になっている点に注目すべきでしょう。
従来のフィッシングの多くは「怪しいリンクを踏ませる」ことがゴールでした。しかし今回の手口は違います。メールはあくまで前振りにすぎず、本命は音声通話による対話型のソーシャルエンジニアリングです。人間が直接話しかけ、信頼を演出し、その場で操作を誘導する。メールフィルターが反応するより速く、人の心理的な隙を突いてくるのです。
Unit 42の一次レポートを読むと、攻撃の巧妙さがより鮮明になります。攻撃者は helpdesk@Progressive936.onmicrosoft.com という、アカウント名に「helpdesk」を用いたアカウントを使っていました。いかにもIT窓口らしく見せる細工です。Teamsには「External unfamiliar(外部の不明な相手)」という警告ラベルが表示されていたにもかかわらず、被害者は電話を切らず、画面共有とリモート操作を許可してしまいました。警告が出ていても、対話の力の前では機能しきれないという現実がここにあります。
技術面で巧妙なのは、正規ツールを「隠れ蓑」にしている点です。HopToDeskやAnyDeskはIT部門でも使われ得る正規のリモート管理ソフトであり、それ自体はマルウェアではありません。malware.exe という名前の実行ファイルなら誰でも疑いますが、サポート中にユーザー自身がインストールしたAnyDeskは疑いにくい。攻撃者は、悪意あるMSI(v7.msi)が登場する時点で、すでに「信頼の壁」を越えてしまっているのです。
EtherRAT本体にも新しさがあります。通常のマルウェアは通信先(C2サーバー)のアドレスをコード内に埋め込みますが、EtherRATはEthereumのスマートコントラクトからC2サーバーの情報を取得します。ブロックチェーンは改ざんも停止も難しいため、防御側が「怪しいサーバーを一つ潰せば止まる」という従来の対処が通用しにくくなります。ブロックチェーンの「止めにくさ」が、皮肉にも攻撃側の武器に変わっているわけです。ただし、ネットワーク側での遮断やエンドポイントでの検知まで不可能になるわけではありません。
今回の公開情報では、特定業界に限定された攻撃とは示されていません。Node.js製のEtherRATはWindows、Linux、macOSを横断して動作すると報じられており、特定の業界だけでなく幅広い企業環境で警戒が必要です。しかも一次情報によれば、攻撃者はリモート操作中に被害企業のServiceNowポータルにアクセスし、新たなサポートチケットまで作成していました。単なる感染にとどまらず、社内システムへのさらなる侵入や横展開を狙っていたことがうかがえます。
一方で、防御側にとっての手がかりも見つかっています。Unit 42は、Teamsのリモート操作中に「CtrlVirtualCursorWin_」で始まるファイルが生成されることを指摘しました。これは、攻撃者が実際に画面を操作していた証拠として、フォレンジック調査に役立つ痕跡になります。攻撃者が正規ツールに紛れても、完全に足跡を消せるわけではないのです。
Microsoftもこの流れに対応を進めています。今年初めには外部発信者を識別する警告を追加し、疑わしいサードパーティのBotを自動的にミーティングのロビーへ隔離する管理者ポリシーも導入しました。この機能は6月30日にBleepingComputerでも報じられています。ただし今回の事例は、機能だけでは守りきれないことも同時に示しています。最後に「電話を切る」判断を下すのは、結局その画面の前にいる従業員だからです。
長期的に見れば、この種の攻撃は「ゼロトラスト」の考え方を組織文化のレベルにまで広げる必要があることを突きつけています。外部からの予期しないTeams通話で、画面共有やリモートツールの導入を求められたら、いったん立ち止まる。技術的な防御と並行して、こうした「人の習慣」を組織に根付かせられるかどうかが、これからの分かれ目になっていくでしょう。
【用語解説】
EtherRAT
Node.jsで書かれたクロスプラットフォーム対応のリモートアクセス型トロイの木馬(RAT)。Windows、Linux、macOSを横断して動作し、コマンド実行・ファイル操作・データ窃取・永続化が可能である。通信先の指定にEthereumのスマートコントラクトを用いる点が特徴だ。
RAT(リモートアクセス型トロイの木馬)
Remote Access Trojanの略。攻撃者が感染端末を遠隔から自由に操作できるマルウェアの総称である。正規のリモート操作ソフトに似た機能を、被害者に無断で悪用する。
C2サーバー(コマンド&コントロールサーバー)
感染端末に指令を送り、盗んだデータを受け取る攻撃者側の司令塔にあたるサーバー。防御側はこのサーバーを特定・遮断することで攻撃を無力化しようとするが、EtherRATはブロックチェーン経由で接続先を切り替えるため遮断が難しい。
スマートコントラクト
ブロックチェーン上に記録され、条件に応じて自動実行されるプログラム。改ざんや停止が困難という本来の長所が、今回はC2サーバー情報の隠し場所として悪用されている。
MSIインストーラー
Windows標準のソフトウェア導入形式。拡張子は .msi で、本来は正規ソフトの配布に使われる。今回は「v7.msi」がマルウェアローダーとして機能した。
ビッシング(Vishing)
Voice(音声)とPhishing(フィッシング)を組み合わせた造語。電話や音声通話を使って被害者をだます手口を指す。今回はTeamsの音声通話がこれにあたる。
ラテラルムーブメント(横展開)
攻撃者が最初に侵入した端末を足がかりに、社内ネットワーク内の他の端末やサーバーへ侵入範囲を広げていく動きのこと。
テナント(Microsoft 365テナント)
Microsoft 365における組織単位の契約空間。「External unfamiliar」ラベルは、発信者が自組織とは別のテナントに属し、信頼関係のない外部相手であることを示す。
RMMツール
Remote Monitoring and Management(遠隔監視・管理)ツールの略。HopToDeskやAnyDeskが該当する。IT部門が正規に使うソフトのため、悪用されても不審物と気づかれにくい。
Quick Assist
Windowsに標準搭載された遠隔サポート機能。過去のTeams悪用キャンペーン(A0Backdoor)で悪用された。
React2Shell
React Server Components(RSC)に見つかった深刻な脆弱性(CVE-2025-55182)。2025年12月に、攻撃者がこの脆弱性を悪用してEtherRATを送り込む事例が報告された。当初は北朝鮮系の攻撃者との関連が指摘されていたが、その後EtherRATは、複数の攻撃グループにも利用が広がったと報じられている。
【参考リンク】
Unit 42(Palo Alto Networks)(外部)
今回の攻撃を報告した脅威インテリジェンス組織。研究者や対応専門家など200名超が脅威分析を公開している。
Palo Alto Networks(外部)
Unit 42を擁する米国の大手サイバーセキュリティ企業。ファイアウォールやクラウドセキュリティを提供する。
Unit 42 GitHubレポート(本件の一次情報)(外部)
攻撃者アカウントやコマンド、痕跡、IOCなどを記載したUnit 42の速報レポート原文。
Microsoft Teams 外部チャットのフィッシング対策(公式サポート)(外部)
外部からの不審なチャットへの対処法を解説したMicrosoft公式のサポートページ。
Microsoft Security Blog(ヘルプデスクなりすまし解説)(外部)
Teamsを悪用したなりすまし攻撃の手口と防御策を、Microsoftが自ら詳細に解説した公式ブログ。
AnyDesk(外部)
攻撃で悪用された正規のリモートアクセスソフト。正当な業務用途を持つが悪用されやすい性質がある。
HopToDesk(外部)
同じく攻撃で悪用された無料のリモートデスクトップソフト。正規ツールが隠れ蓑にされた一例である。
【参考記事】
When “Hi, This Is IT” Comes Through Microsoft Teams(Unit 42)(外部)
コラボツール経由のフィッシング警告が42%に増加(直前は30%)と数値で示したUnit 42の分析記事。
Hackers Leverage Microsoft Teams Call to Install RMM Tools and Deploy EtherRAT(Cyber Security News)(外部)
配布サーバーにv1からv9まで9種類のインストーラーが置かれていた点を明記した記事。
Fake IT bods on Microsoft Teams coax workers into installing malware(The Register)(外部)
EtherRATのv1〜v9が6月26日更新でオープンディレクトリに置かれた点や、フォレンジック痕跡を補足している。
Unit42-timely-threat-intel:Fake IT support abuses Teams to deliver EtherRAT(Unit 42/GitHub)(外部)
攻撃者アカウントやv7.msi取得コマンド、多段ローダー、予備C2などを記載した一次情報。
Cross-tenant helpdesk impersonation to data exfiltration(Microsoft Security Blog)(外部)
本件の土台となるTeamsなりすまし手口を、WinRMやRcloneの悪用も含めMicrosoftが詳述している。
Microsoft: Teams increasingly abused in helpdesk impersonation attacks(BleepingComputer)(外部)
攻撃者がクロステナントのチャットでヘルプデスクを装い正規ツールを悪用する手口を、Microsoftが警告したと伝える記事。
【関連記事】
Microsoft Teams・Google Drive悪用、20分で侵入する「Nimbus RAT」の手口
Teams経由の偽ITサポートからRATを送り込む同型攻撃。C2にGoogle Driveを使うNimbus RATと本件の手口を対比できる。
Microsoft Teams が外部ボット検出を強化─「脅威の疑い」を可視化する一手
本記事で触れたMicrosoftのBot隔離ポリシーを深掘り。防御側の新機能を理解する補完記事にあたる。
Matanbuchus 3.0マルウェア、Microsoft Teams悪用で企業標的
Teamsの外部接続とQuick Assistを悪用した攻撃。ソーシャルエンジニアリング進化の系譜を辿れる過去事例。
【編集部後記】
「自分なら、あの電話を切れるだろうか」——今回の手口を追っていくと、そう問いかけたくなります。忙しい日に、もっともらしい口調で「サポートです」と言われたら、つい画面を共有してしまう。そういう反応は、油断でも知識不足でもなく、私たちが職場で自然に身につけた「困っている人を助けたい」「サポートには協力するもの」という善意の裏返しなのだと思います。
だからこそ、この話を「気をつけましょう」で終わらせたくない気持ちがあります。一人ひとりの注意力に頼る防御は、疲れているときや焦っているときに必ず穴が空きます。むしろ大事なのは、「外部から急に来たサポートの連絡は、いったん切って、社内の正規の窓口にかけ直す」といった、迷わなくて済む共通のルールをチームで決めておくことなのかもしれません。判断を個人の頑張りにせず、仕組みに預けてしまう。そのほうが、ずっと楽で確実です。
もう一つ心に残ったのは、EtherRATがブロックチェーンを指令の隠し場所に使っていた点です。改ざんも停止も難しいという、本来は信頼を支えるはずの技術が、攻撃を長生きさせる道具に転用されている。便利さや堅牢さは、立場が変われば脅威にもなる——この皮肉は、これから登場するどんな新技術にもついて回るのだと感じます。












