Malwarebytesの研究員ステファン・ダシッチが2026年3月6日に報告した。Google Meetのアップデート通知に偽装したフィッシングページ(updatemeetmicro[.]online)が確認された。
このページ上のボタンやリンクをクリックすると、Windowsに組み込まれた正規機能 ms-device-enrollment: URIスキームが起動し、Sun Life Financialを装ったドメイン(sunlife-finance[.]com)のユーザー名とともに、攻撃者のエンドポイント(tnrmuv-api.esper[.]cloud)へデバイスが登録される。登録先は正規の商用MDMプラットフォームEsperであり、ブループリントIDとグループIDがあらかじめ設定されている。登録が完了すると、攻撃者はソフトウェアのインストール・削除、設定変更、ファイルシステムの閲覧、画面ロック、デバイスの完全消去をリモートで実行できる。
マルウェアや認証情報の窃取は行われないため、既存のセキュリティツールでは検知が困難だ。
From: 
One click on this fake Google Meet update can give attackers control of your PC | Malwarebytes
【編集部解説】
今回Malwarebytesが報告した攻撃は、「マルウェアを使わずにPCを乗っ取る」という、従来のサイバーセキュリティの常識を根底から揺さぶるものです。ウイルスも、不正ファイルも、パスワードの盗用も一切ない。にもかかわらず、ワンクリックで攻撃者が被害者のPCを完全支配できる状態になります。
この攻撃の核心にあるのは、ms-device-enrollment: というWindowsに正規搭載されたURIスキームの悪用です。本来これは、企業がリモートワークの社員に「このリンクをクリックするだけで会社のMDMに登録できる」という利便性を提供するために設計されました。Microsoftが意図した通りに動作しているからこそ、セキュリティツールは何も検知できません。
MDM(モバイルデバイス管理)という言葉に馴染みのない読者のために補足しておきます。これは企業がスマートフォンやPCを一元管理するための仕組みで、IT部門が「リモートでアプリを配布する」「紛失したデバイスをロックする」「社内ポリシーを強制適用する」といった作業をこなすための基盤技術です。つまり攻撃者がこのシステムに接続することは、「IT管理者と同等の権限を手に入れること」を意味します。
注目すべきは、攻撃インフラに使われているEsperが、本物の企業でも広く採用されている正規の商用MDMプラットフォームだという点です。Esper自体は今回の攻撃に一切関与しておらず、その正規サービスが攻撃者に無断で踏み台にされた被害者でもあります。セキュリティツールがドメイン評判でブロックしようとしても、Esperは正当なサービスであるため機能しません。攻撃者は悪意あるインフラを自前で構築する必要なく、合法的なSaaSをそのまま「武器」として利用しています。
このトレンドはセキュリティ業界で「Living off the Land(環境寄生型攻撃)」と呼ばれ、近年急速に広がっています。OSの正規機能やクラウドサービスを踏み台にすることで、攻撃者はマルウェアの開発コストをゼロにしながら、検知を著しく困難にします。今回の事案は、その延長線上にあります。
規制や防御の観点から見ると、この攻撃は既存のセキュリティフレームワークに大きな問いを突きつけています。「悪意あるコードが存在しない攻撃」を検知・防御するためには、エンドポイントでの振る舞い監視や、MDM登録ポリシーの厳格化、ゼロトラストアーキテクチャの導入が不可欠です。企業のIT部門においては、Microsoft IntuneなどでMDM登録先サーバーをホワイトリスト管理することが、今すぐできる現実的な対策となります。
長期的な視点で捉えると、これは「攻撃者がインフラを持たなくなる時代」の象徴的な事例です。正規のOSと正規のSaaSだけで完結する攻撃チェーンは、今後さらに洗練されていくでしょう。セキュリティの戦場は、「悪いコードを見つける」から「正規の動作の中に潜む異常を見つける」へと確実にシフトしています。
【用語解説】
ソーシャルエンジニアリング
技術的な脆弱性ではなく、人間の心理や行動パターンを利用して、攻撃者が目的の行動(クリック・ログインなど)を被害者に取らせる手法の総称である。
URIスキーム(URI scheme)https:// や mailto: のように、URLの冒頭に付く識別子のこと。ms-device-enrollment: はMicrosoftがWindows向けに設計した正規のURIスキームで、IT管理者がワンクリックでデバイスをMDMに登録させるために使われる。今回の攻撃では、この正規機能の向き先が攻撃者のサーバーに書き換えられた。
MDM(Mobile Device Management)
企業が従業員のスマートフォンやPCなどのデバイスをリモートで一元管理するための技術・プラットフォームの総称。アプリの配布・削除、設定の強制、画面ロック、データ消去などを管理者が遠隔で実行できる。本来は正規の企業IT管理ツールだが、今回は攻撃者がその権限を不正に取得するために悪用された。
Base64
バイナリデータやテキストを、英数字と一部の記号のみからなる文字列に変換するエンコード方式である。今回の攻撃では、攻撃者のMDMサーバーURLにBase64でエンコードされた設定情報が埋め込まれており、それをデコードすることで攻撃者のEsper上のブループリントIDとグループIDが判明した。
Living off the Land(環境寄生型攻撃)
攻撃者が独自のマルウェアを使わず、ターゲットのOSや正規のクラウドサービスに最初から備わっている機能やツールを悪用してサイバー攻撃を実行する手法。セキュリティツールによる検知が著しく困難になるため、近年急速に増加しているトレンドである。
ゼロトラストアーキテクチャ
「社内ネットワークだから安全」という前提を排し、すべてのアクセスを常に検証・認証するセキュリティの設計思想。今回のように正規のOSやSaaSが悪用される攻撃に対して、特に有効なアプローチとされる。
SaaS(Software as a Service)
ソフトウェアをインターネット経由でサービスとして提供するクラウド型の提供形態。今回の攻撃では、EsperというSaaSプラットフォームが攻撃インフラとして利用された。正規サービス上に構築された攻撃インフラは、ドメイン評判によるブロックが機能しないという問題を生む。
【参考リンク】
Malwarebytes(マルウェアバイツ)公式サイト(外部)
サイバーセキュリティ企業。個人・法人向けのマルウェア対策製品を提供し、脅威インテリジェンスの研究・発信でも知られる。今回の攻撃を発見・報告した。
Esper(エスパー)公式サイト(外部)
エンタープライズ向けの商用MDMプラットフォーム。今回の攻撃では正規サービスが攻撃者に無断で踏み台にされた。Esper自体は攻撃に一切関与していない。
Sun Life Financial 公式サイト(外部)
1865年創業のカナダの大手金融サービス企業。今回の攻撃で同社を模倣した偽ドメインがMDM登録フォームのユーザー名に不正利用された。
Microsoft Intune 公式サイト(日本語)(外部)
MicrosoftのエンタープライズMDM・エンドポイント管理ソリューション。不正なMDM登録をブロックするポリシー設定が今回のような攻撃への対策として有効だ。
【参考記事】
Fake Zoom and Google Meet scams install Teramind: A technical deep dive | Malwarebytes(外部)
ZoomおよびGoogle Meetを装った偽サイトが正規のTeramindインストーラーを悪用しWindowsに監視ツールを仕込む手法を詳細に解説。両ペイロードのMD5ハッシュ値が一致することを確認した今回記事の直接的な前段報告。
OAuth redirection abuse enables phishing and malware delivery | Microsoft Security Blog(外部)
攻撃者がOAuthのリダイレクト機能を悪用して正規の認証ページから悪意あるサイトへ誘導する手法をMicrosoft自身が報告(2026年3月2日)。正規フローを武器に転用するトレンドの事例として参照。
Hackers target Microsoft Entra accounts in device code vishing attacks | BleepingComputer(外部)
OAuth 2.0デバイス認証フローを悪用しパスワードを盗まずにMicrosoft Entraアカウントへ侵入する「デバイスコードvishing攻撃」を解説。Living off the Landトレンドの具体例として参照した。
Approved by Design. Abused by Attackers: Inside Device Code Flow Exploitation | Guardz(外部)
Storm-2372の事例を中心にデバイスコードフローの悪用メカニズムを技術的に分解。正規OS機能の悪用という構造的問題を理解するうえで参照した。
【編集部後記】
「マルウェアがなければ安全」という感覚、私たちも長い間そう思っていました。でも今回の攻撃は、その前提そのものが崩れ始めていることを示しています。
OSの正規機能が武器になる時代、「何を信じるか」の基準をどこに置くか、一緒に考えてみませんか。
