ScreenConnect を用いる PC Hijack:公式の通知を装うメールに御用心

Hackers Abuse ScreenConnect to Hijack PCs via Fake Social Security Emails

2026/02/17 hackread — 英国/米国/カナダ/北アイルランドの組織を標的とする、新たなサイバー攻撃の波が確認された。Forcepoint X-labs の最新調査によると、この攻撃者は米国の社会保障局 (SSA:Social Security Administration) を装うことでセキュリティを回避し、それらのコンピュータを完全に掌握しようとしている。Hackread.com と共有された報告書によると、この攻撃は高度な新型マルウェアに依存するのではなく、システムに組み込まれた防御機構を弱体化させることで成功を収めている。

警報の無効化

この攻撃はオフィシャルな通知を装うメールから始まるが、偽ドメインである SSA[.]COM や、“Statement” を “eStatemet” と記すといった明確な不審点などがある。この誘導に従ったユーザーが添付の “.cmd” スクリプトを開くと、コンピュータの防御機構が破壊され始める。

X-labs のレポートによると、このスクリプトは PowerShell auto-elevation 技術を用いて管理者権限を確認する。そして、権限を取得した後に、Windows SmartScreen (通常は不審アプリ実行をブロックする機能) をレジストリ変更により無効化する。さらに Mark-of-the-Web (Windows がインターネット由来ファイルを識別する隠しデジタルタグ) も削除する。

この調査では、Alternate Data Streams (ADS) を悪用するスクリプトが、痕跡を隠蔽していることも判明した。これら警告が除去された結果、攻撃者は画面上に警告を表示させることなく、MSI ファイルをサイレント・インストールする。

Sample email (Source: Forcepoint)
善良なツールの悪用

防御機構が無効化された後に、このスクリプトは ConnectWise ScreenConnect をサイレント・インストールする。本来は IT サポート向けの正規ツールであるが、この攻撃では Remote Access Trojan (RAT) として武器化され、ネットワークへの恒久的バックドアを確立する。

研究者たちによると、この悪意のソフトウェアは System.config ファイルを通じて、特定サーバへコールバックするようハードコードされているという。

  • Port: 8041
  • Address: dof-connecttop
  • Location: イラン所在 “Aria Shatel Company Ltd” ネットワーク

この攻撃ではバージョン 25.2.4.9229 が使用されており、取り消し済みセキュリティ証明書が含まれている。失効した署名済みの証明書を使用することで、一部のセキュリティ製品に正規ソフトウェアとして認識させる可能性がある。

攻撃者は無差別にファイルを狙っているわけではなく、政府/医療/物流などの高価値データ分野を標的としている。

スクリプトは Windows Explorer プロセスを強制的に再起動させ、セキュリティ設定の変更を速やかに反映させる。

Attack chain (Source: Forcepoint)

このインシデントが示すのは、新たなウイルスの作成から、IT 部門が日常的に使用する正規ツールの乗っ取りへと、サイバー犯罪者たちの手段が拡大している傾向である。

セキュリティ専門家によると、予期しない政府機関名義の添付ファイルは、すべてを潜在的な脅威として扱うことが、最も効果的な防御策である。

この攻撃の特徴は、新種マルウェアよりも既存の Windows 防御機構の無効化に重点を置いている点にあります。Forcepoint X-labs の調査によると、攻撃は Social Security Administration を装うメールから始まり、”.cmd” スクリプトの実行により PowerShell auto-elevation を悪用して管理者権限を取得します。その後に、レジストリ変更や ADS の悪用により Windows SmartScreen や Mark-of-the-Web を無効化し、警告を表示させない状態を作ります。最終的に ConnectWise ScreenConnect を RAT として導入し、外部サーバ (Port 8041/イラン所在 Aria Shatel Company Ltd ネットワーク) へコールバックさせます。この問題の原因は、正規ツールと OS 標準機能への過信により、防御の前提が崩された点にあります。よろしければ、カテゴリー LOLbin も、ご参照ください。