偽の PayPal 警告に御用心:従業員の個人情報窃取から企業の侵害へとエスカレート

Hackers Use Fake PayPal Notices to Steal Credentials, Deploy RMMs

2026/01/15 InfoSecurity — 正規の Remote Monitoring and Management (RMM) ツールを悪用し、フィッシングによる侵入を試みる新たなキャンペーンが検出された。この攻撃者は、偽の PayPal アラートを介して、個人および企業へのアクセスを取得している。1月13日 (火) に Cyberproof が公開したアドバイザリによると、この活動は季節的にタイムリーなルアーから、緊急性の高い金融関連テーマへの移行を示しているという。信頼されるリモートアクセス・ソフトウェアが、検出回避のために依然として武器化されている状況を浮き彫りにしている。

以前のキャンペーンにおいても、ホリデーパーティーの招待状/納税通知/書類への署名依頼といったルアー・メッセージが使用されていた。最新のインシデントでは、即時の対応を促すよう設計された偽の PayPal 警告が悪用されている。

個人アカウントから企業への足掛かりへ

Cyberproof の研究者は、顧客環境全体で6件のインシデントを調査した。その中には、従業員の個人 PayPal アカウントが最初の侵入口となった事例も含まれている。

2026年1月5日に、同社の Managed Detection and Response (MDR) チームは、従業員の個人情報の窃取から、最終的に企業環境への不正アクセスへとエスカレートした不審なアクティビティを特定した。

この攻撃は、PayPal を装う偽メールから始まり、続いて電話によるソーシャルエンジニアリングを実施するものだった。サポート担当者を装う攻撃者は、標的として定めた従業員に、正規のリモートアクセス・ソフトウェアをインストールするよう誘導した。

それにより攻撃者は LogMeIn Rescue を導入し、その後に AnyDesk によるアクセスを取得/維持した。この侵入中において、Endpoint Detection and Response (EDR) のアラートは発生しなかった。

RMM の冗長性とセキュリティに関する推奨事項

RMM ツールを使用する攻撃者が、別の RMM ツールをインストールする手法は、Broadcom の最近の調査でも指摘されている。この手法は、検出の可能性を低減し、試用ライセンスの有効期限切れを回避するために、ライセンスを循環使用することを目的としていると考えられる。

今回の攻撃の痕跡には、複数の LogMeIn Rescue バイナリと、アクティブなリモートセッションの存在が含まれていた。

この攻撃における永続化は、スケジュールされたタスクと、Gmail 風の名称で偽装されたスタートアップ・ショートカットにより実現されていた。この戦術は、通常のシステム動作に紛れ込み、定期的な確認作業で疑念を持たれないよう設計されている。

Cyberproof は、「このキャンペーンの直接的な動機は、金銭目的に見えるかもしれないが、長期的なリスクは深刻である。これらの RMM バックドアを通じて得られたアクセスは、高度持続的脅威 (APT) の攻撃者に売却され、企業全体の侵害やランサムウェア展開につながる可能性がある」と指摘している。

同様の脅威に対処するために同社が推奨するのは、フィッシング対策の強化/一般的な RMM ポートへのネットワーク・アクセス制限/RDP などのリモートサービスの露出回避である。

さらに、組織に対して強く求めているのは、オフライン・バックアップの維持/サードパーティ製 RMM ツールのリスク評価/セキュリティ・ソフトウェアの最新化/ゼロトラスト・セキュリティ・モデルの一環としてのユーザー・トレーニング強化である。

PayPal を装う偽の通知から始まり、最終的に企業のネットワークへ侵入を試みる攻撃キャンペーンが確認されています。このキャンペーンの特徴は、LogMeIn や AnyDesk といった正規のリモートデスクトップ・ソフトウェアを悪用している点にあります。一般的なウイルスとは異なり、ビジネスで広く使われる信頼されたツールが悪用されるため、EDR などのセキュリティ・ソフトが悪意の挙動として検知しにくいという性質があります。最初に攻撃者は、電話やメールでサポート担当者を装って被害者を安心させ、彼ら自身にツールをインストールさせます。いったん侵入に成功すると、検知を逃れるために複数の異なる RMM ツールを交互にインストールし、Windows のタスク・スケジューラを悪用することで、コンピュータが再起動しても接続が自動的に復活するバックドアを仕掛けます。たとえ個人のアカウントを狙った攻撃であっても、そこから会社のネットワーク全体へ被害が広がる可能性があります。よろしければ、カテゴリー SocialEngineering を、ご参照ください。