Fake Zoom and Google Meet Pages Trick Users Into Installing Monitoring Tool
2026/03/03 hackread — Zoom/Google Meet の待機画面を精巧に模倣する偽サイトでユーザーを騙し、Windows システムにリモート監視ソフトウェアをインストールさせるフィッシング・キャンペーンが、セキュリティ研究者たちにより確認された。通常のビデオ会議への参加や、必要なアップデートのインストールを装うキャンペーンにより、多くの被害が発生している。
多くのフィッシング攻撃では、独自開発のマルウェアが使用されるが、このキャンペーンでは、従業員を監視するための市販の正規ツールが悪用されている。この正規ソフトウェアを悪用するのは無許可の第三者であり、ビデオ会議への参加や必須のアップデートを装いながら、被害者の端末を監視している。
攻撃のメカニズム
通常、この攻撃は、会議招待を装うフィッシング・リンクから開始される。この悪意のリンクをクリックすると、Zoom の待機画面を模倣するページへと誘導される。このページでは、他の参加者が接続したかのような音声が効果的に再現され、正当性が演出されている。
続いて、このページは、接続トラブルや技術的な問題の発生を偽装し、最終的に接続を修復するための “アップデート” のダウンロードを促す。被害者がインストーラを実行すると、監視エージェントがステルス・モードで展開される。
ツールの技術的機能
Malwarebytes の研究によると、この悪意のソフトウェアは、アイコンや通知を表示せずに実行されていく。最終的にソフトウェアが有効化されると、攻撃者は対象デバイスの広範なアクセス権限を取得する。攻撃者に対して許可される具体的な機能は、以下のとおりである。
- キーストローク記録/クリップボード監視
- リアルタイム・スクリーンショット取得/画面録画
- 閲覧履歴追跡/アプリケーション使用状況追跡
- ファイルシステム・アクセス/リモート・テレメトリ
研究者たちが指摘するのは、インストーラが特定のコンフィグ・ファイルを使用することで、その動きが Windows のプログラム一覧およびシステム・トレイから隠蔽されることだ。そのため、一般ユーザーが検知することは困難である。
さらにエージェントは、永続サービス tsvchst/pmon を作成する。これらのサービスは、停止された場合であっても自動的に再起動する設定となっており、監視機能の継続を保証する仕組みとなっている。
Google Meet への拡大
このキャンペーンの当初では、Zoom が標的とされていたが、その後に Google Meet ユーザーを狙うバリアントも確認された。このバージョンでは、Microsoft Store を偽装するインターフェイスが使用され、同一の監視ペイロードが配信される。
この 2 つのキャンペーンにおけるインフラは同一であるとされ、単一の組織化されたオペレーションである可能性が高い。
編集注記
この記事は、企業向けプラットフォームの特性に関する法的紛争を受け、研究で当初言及されていたソフトウェア・ベンダー名を削除する更新が行われた。フィッシング・キャンペーンに関する基礎研究は Malwarebytes によるものである。
今回の事例で用いられたのは、ビデオ会議ツールを装う偽サイトから、不正なソフトウェアをインストールさせてしまうという手口です。技術的に特に注意すべき点は、独自に作成された悪意あるプログラムではなく、市販されている正規の監視ツールがそのまま悪用されていることです。これをステルス・モードで展開する攻撃者は、Windows のシステムトレイなどから自身の存在を隠蔽するため、一般的な利用者が気づくのは極めて困難です。この攻撃は、会議接続やアップデートのトラブルだと誤解する、被害者の心理的な隙を突いています。なお、類似の脅威として CVE-2023-36884 などが関連して議論されることもありますが、今回は正規ツールの不正な悪用が主な原因となっており、セキュリティ対策の難しさを改めて示しています。よろしければ、Phishing での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.