偽のZoomサイトを悪用したマルウェア拡散を確認

偽のZoomサイトを悪用したマルウェア配布を確認

偽のZoomウェブサイトを通じてマルウェアを配布する手口が確認された。問題のサイトは「uswebzoomus.com/zoom/」から始まるURLを使用し、Zoomの待機室画面を模倣して利用者を誘導する。

ページにアクセスすると、被害者の接続情報が攻撃者側に通知される仕組みとなっている。その後、あたかも他の参加者が会議に参加しているかのように表示され、通信遅延や音声・映像トラブルが発生しているように見せかける。

こうした演出によって利用者に不具合が生じていると誤認させ、偽のアップデートや追加ソフトウェアの導入へと誘導するのが狙いとみられる。

攻撃の具体的な手口

偽サイト上では「Update Available」と表示されたポップアップが現れ、利用者に更新を促す。これをクリックすると、不正なインストーラーファイルがダウンロードされる仕組みだ。

確認されたファイル名は「zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi」。実行すると、監視ソフト「Teramind」のステルスモードが導入される。

Teramindは本来、企業環境で従業員の端末利用状況を可視化するための正規ソフトウェアだが、今回の事案では個人端末に無断でインストールされ、利用者の操作内容を監視する目的で悪用されているとみられる。

Teramind悪用のリスク

Teramindは企業向けの正規ソフトウェアとして提供されており、適切な運用ルールの下で利用される場合は監視・管理用途のツールとなる。一方、利用者の同意なく個人端末に導入された場合は、端末内の操作情報を収集する目的で悪用されるおそれがある。

同ソフトはキーストローク記録、スクリーンショット取得、閲覧履歴の収集といった機能を備え、収集情報を外部サーバーへ送信できる仕様とされる。今回のように不正インストールと組み合わされた場合、プライバシー侵害や認証情報の漏えいにつながる可能性がある。

セキュリティ確認と予防策

「uswebzoomus.com/zoom/」からファイルをダウンロードした場合は、実行せず削除することが望ましい。すでに実行している場合は、端末内の「C:\ProgramData{4CEC2908-5CE4-48F0-A717-8FC833D8017A}」フォルダを確認し、Teramindが導入されていないかを点検する必要がある。

あわせて、主要アカウントのパスワード変更や二要素認証の有効化など、追加の防御策を講じることが推奨される。Zoomを利用する際は、リンク経由ではなく公式ドメイン「zoom.us」を直接入力してアクセスする習慣が安全だ。

今回の事例は、新種マルウェアではなく既存の商用ソフトウェアを悪用する手法が用いられた点に特徴がある。正規ツールを装うことで利用者の警戒心を下げる狙いがあるとみられる。リンクの送信元やダウンロード元を確認し、不審なソフトウェアを安易に導入しないことが重要だ。