私たちの仕事に欠かせない Microsoft Teams や Google Drive は、便利さゆえに「安全だ」と信じられています。ところが、その信頼そのものが新しい攻撃の入り口になってきました。2026年4月、セキュリティ企業 eSentire が確認した事案は、攻撃者が正規クラウドサービスだけを武器に、わずか20分でシステムに侵入する手口を見せています。282通のメールが一気に押し寄せ、社員を混乱させ、その隙をついて偽のサポート連絡が来る。画面の向こうは実は攻撃者。こうした「なりすまし」の精度が、企業システムの脆弱性をえぐり出しています。技術的な防壁ではなく、私たちの「判断」と「設定の作法」が、これからのセキュリティの分かれ目になろうとしています。
CybersecurityNewsは2026年6月4日に本件を報じた。一次情報であるeSentire TRUの詳細報告は2026年5月28日に公開されている。2026年4月初旬、eSentireの脅威対応ユニット(TRU)は、法律業界の組織を標的とした侵入を確認した。攻撃者はMicrosoft TeamsのボイスフィッシングでユーザーにWindows Quick Assist経由のリモートアクセスを許可させ、JavaベースのリモートアクセストロイNimbus RATを送り込み、20分未満で侵害を完了させた。
攻撃はまず280通を超える購読メールによるメールボミングから始まり、SharePoint上の侵害済みMicrosoft 365テナントからペイロードが取得された。Nimbus RATはGoogle DriveとGoogle SheetsをC2チャネルに利用する。eSentire TRUは12か月間で172組織にまたがる1,540件の不審なMicrosoft Teamsのやり取りを観測し、2025年12月から2026年3月にかけて急増した。攻撃の約65%はonmicrosoft.comドメインの使い捨てMicrosoft 365テナントから発信されていた。
From: 
Teams and Google Drive Leveraged to Compromise Systems Within 20 Minutes
【編集部解説】
法律事務所のある社員のもとに、ほんの1時間半で282通ものメールが押し寄せました。通販、SaaS、行政ポータルからの「登録ありがとうございます」という、それ自体は完全に正規のメールです。混乱した社員のもとに、今度はMicrosoft Teams経由で「ITサポート」を名乗る人物が現れ、「受信箱の混乱を解決しましょう」と手を差し伸べます。この一連の流れこそが、今回の攻撃の入り口でした。
eSentireの脅威対応ユニット(TRU)が「Nimbus RAT」と呼ぶこのマルウェアの侵入は、最初のTeams接触から遠隔操作型トロイの木馬の実行まで、20分もかかりませんでした。なぜinnovaTopiaが今この事案を取り上げるのか。それは、これが「脆弱性を突く攻撃」ではなく「私たちが日常的に信頼しているツールそのものを武器に変える攻撃」の到達点を示しているからです。
まず押さえておきたいのが、攻撃のどの段階にも「不正なソフト」や「怪しいサーバー」がほとんど登場しない点です。初期接触はMicrosoft Teams、ペイロードの配布は侵害された正規企業のSharePoint、手順書は誰もが使うPastebin、遠隔操作はWindows標準のQuick Assist、そして指令統制(C2)はGoogle Drive。すべてが正規のクラウドサービスで構成されています。
C2にGoogle DriveとGoogle Sheetsを使う設計は、防御側にとって特に厄介です。マルウェアの通信は正規のGoogle API呼び出しと見分けがつかず、企業がgoogleapis.comを丸ごとブロックすることは現実的に不可能だからです。TRUは、検知はネットワーク層ではなく「どのプロセスがその通信を行っているか」というプロセス挙動に頼るしかない、と指摘しています。
ここで、元記事(CybersecurityNews)の数値について一点補正しておきます。元記事は「280通を超えるメール」と記していますが、一次情報源のeSentireは「90分間に282通、ピーク時は毎分26通」と具体的に報告しています。また元記事には書かれていませんが、TRUのデータでは2026年2月だけで408件と、平常時の約8倍に急増していました。「12か月で1,540件、172組織」という数字は両者で一致しています。
もう一つ重要なのが、このNimbus RATが無名の新顔ではないという点です。TRUは本マルウェアを、セキュリティ企業Rapid7が2025年に報告したランサムウェア集団「BlackSuit」の活動と結びつけています。具体的には、Black Bastaの内部対立後も、BlackSuitの提携犯罪者がNimbus RATを用いた攻撃を続けているという関係です。つまり、これは個人ハッカーの思いつきではなく、組織的な犯罪エコシステムが共有するインフラと手口の一部なのです。使い捨てのMicrosoft 365テナント(全体の65%)や、登録後72時間以内に使われる.topドメインの大量生成は、その「工業化」を物語っています。
技術的に注目すべきは、Nimbus RATがOpenJDK 25.0.1ランタイムを丸ごと同梱している点です。これにより、標的のPCにJavaが入っているかどうかに関係なく動作します。さらに、偽のWindowsセキュリティ画面と、Windows純正の認証API(CredUIPromptForCredentialsW)の両方を使い、わざと「パスワードが違います」と表示して2回入力させることで、正しい認証情報を確実に盗み取る設計になっています。利用者の善意や「もう一度試してみよう」という自然な反応さえも、攻撃に利用されてしまうわけです。
この事案が示す影響範囲は、一企業の被害にとどまりません。TRUは別の被害組織で、暗号化メッセージアプリSignalのデスクトップ版の添付ファイル保管庫や、1.13GBに及ぶOutlookのメールボックスファイルが標的にされた痕跡も確認しています。攻撃者の狙いが初期侵入だけでなく、機密性の高いコミュニケーションそのものの窃取にまで及んでいることがうかがえます。
長期的な視点で見れば、この攻撃は、SaaSへの全面的な信頼を前提とする現代のセキュリティが抱える根本的なジレンマを突いています。私たちは生産性のためにTeamsやGoogle Workspaceを全社的に信頼せざるを得ず、その信頼そのものが攻撃面になる。ドメインで弾く従来型の防御は通用せず、ユーザーの挙動・プロセスの動き・アイデンティティのシグナルを文脈で読み解く「振る舞い検知」へと、防御の軸足が移っていくでしょう。
この種の攻撃が広がれば、プラットフォーム提供者による既定設定や外部連携制御のあり方も、今後さらに議論される可能性があります。実際、eSentireは「Teamsの管理センターで試用テナントとの通信を無効化するだけで、観測された悪意あるメッセージの65%を防げた」と述べています。便利さと引き換えに既定でオンになっている機能を、組織がどう絞り込むか。未来のセキュリティは、技術だけでなく「設定の作法」と「人への教育」が三位一体で機能して初めて成立する——この事案は、その現実を私たちに突きつけています。
【用語解説】
Nimbus RAT
Javaで書かれた遠隔操作型トロイの木馬(RAT)。実行に必要なJava環境を自前で同梱し、Windows上で広範な操作を可能にする。指令統制にGoogle Driveを用いる点が特徴。eSentireはランサムウェア集団BlackSuitの活動と関連づけている。
RAT(遠隔操作型トロイの木馬)
Remote Access Trojanの略。攻撃者が感染端末を遠隔から操作できるマルウェア。コマンド実行、ファイル窃取、画面キャプチャなどを可能にする。
vishing(ヴィッシング/ボイスフィッシング)
音声通話やチャットでの会話を通じて相手を騙し、情報や操作権限を引き出すソーシャルエンジニアリング手法。今回はMicrosoft Teams上の通話・チャットが舞台となった。
Quick Assist(クイックアシスト)
Windowsに標準搭載されている遠隔サポートツール。本来はIT担当者が利用者の画面を共有・操作して支援するためのものだが、攻撃者がリモートアクセス取得に悪用した。
C2(指令統制/コマンド・アンド・コントロール)
Command and Controlの略。感染端末に命令を送り、窃取データを受け取る攻撃者側の制御基盤。Nimbus RATは正規のGoogle Driveをこの基盤として流用している。
メールボミング(email bombing)
短時間に大量のメールを送りつけて受信箱を麻痺させる手口。今回は正規の購読確認メールを悪用し、混乱に乗じて偽サポート接触の口実を作った。
ペイロード(payload)
攻撃で最終的に実行される本体部分。本件ではNimbus RAT本体を含むJavaアーカイブを指す。
テナント(tenant)
クラウドサービス上で組織ごとに割り当てられる利用領域。攻撃者は使い捨てのMicrosoft 365テナントや、侵害した正規テナントを発信源に悪用した。
OpenJDK
Javaの実行・開発環境のオープンソース実装。Nimbus RATはこれを丸ごと同梱することで、Java未導入の端末でも動作する。
onmicrosoft.comドメイン
Microsoft 365のテナント作成時に自動付与される既定ドメイン。独自ドメインの購入が不要なため、使い捨ての攻撃基盤として悪用されやすい。
TLD(トップレベルドメイン)
ドメイン名の末尾部分(.com、.topなど)。攻撃者は安価で大量取得しやすい.topドメインを集中的に使っていた。
永続化(persistence)
端末の再起動後もマルウェアが動作し続けるようにする仕組み。Nimbus RATは自動では永続化せず、攻撃者が手動で設定する設計になっている。
BlackSuit / Black Basta
いずれもランサムウェアを用いる組織的なサイバー犯罪グループ。eSentireは、Black Bastaの内部対立後もBlackSuitの提携犯罪者がNimbus RATを用いた攻撃を続けていると報告している。
Storm-1811 / 3AM
Teamsを悪用したソーシャルエンジニアリング攻撃などで知られるサイバー犯罪グループ。今回観測されたTeams経由攻撃の急増時期は、これらのグループの公表された活動時期と整合するとされる。
【参考リンク】
Microsoft Teams(外部)
Microsoftが提供するビジネス向けチャット・会議プラットフォーム。本件では外部テナントからの接触が初期侵入の入り口に悪用された。
Google Drive(外部)
Googleのクラウドストレージサービス。Nimbus RATが指令統制(C2)の経路として流用し、通信を正規APIに偽装する基盤となった。
Microsoft Quick Assist サポートページ(外部)
Windows標準の遠隔サポート機能の使い方を解説したMicrosoft公式サポート文書。
Microsoft SharePoint(外部)
Microsoftのファイル共有基盤。侵害された正規テナント上で、攻撃のペイロード配信に悪用された。
Pastebin(外部)
テキストを手軽に共有できるオンラインサービス。攻撃者が手順書(チェックリスト)の配置場所として利用した。
eSentire(外部)
本件の一次情報を公開したMDR(マネージド検知・対応)を手がけるカナダのセキュリティ企業。TRUが調査を主導した。
【参考記事】
Nimbus RAT: How Threat Actors Are Abusing Microsoft Teams and Google Drive to Deploy a Java RAT(外部)
本件の一次情報。90分間に282通のメールボミング、20分未満での侵害完了、172組織・1,540件の観測など、攻撃の全容を詳述している。
BlackSuit Continues Social Engineering Attacks in Wake of Black Basta’s Internal Conflict(外部)
Nimbus RATをBlackSuitの活動と関連づけて報告したRapid7のブログ。攻撃グループの背景を理解する一次情報。
Sorillus RAT and Phishing Attacks Exploit Google Firebase Hosting(外部)
正規クラウドを悪用して検知を回避するJavaベースRATの事例。SaaS武器化の潮流が単発でないことを示す。
【関連記事】
Matanbuchus 3.0マルウェア、Microsoft Teams悪用で企業標的
Microsoft Teamsの外部接続機能と Quick Assist を悪用した Matanbuchus 3.0 の攻撃。ソーシャルエンジニアリングの進化を示す事例。
Black Basta元メンバーがMicrosoft Teams悪用、Pythonスクリプトで2025年新攻撃手法を展開
Black Basta 分裂後の継続的な Teams 悪用。onmicrosoft.com テナントとPythonスクリプトを用いた新たな攻撃パターンの解説。
【編集部後記】
今回の攻撃で印象的だったのは、悪用されたのが私たちが毎日触れているTeamsやGoogle Drive、Quick Assistといった「信頼しているもの」ばかりだった点です。
便利さと安全のあいだで、私たちはどんな線を引けばいいのでしょうか。もし職場で「ITサポート」を名乗る連絡が外部から届いたら、みなさんなら次にどう動きますか。受信箱が急にメールであふれたとき、その違和感を手がかりにできるか——一緒に考えてみたいテーマです。気づいたことがあれば、ぜひ聞かせてください。
