Bing SEO悪用のAkiraランサムウェア、44時間で企業システムを暗号化
偽のManageEngineサイトへ誘導、検索経由でマルウェア感染を狙う
Bingの検索結果を悪用し、BumbleBeeおよびAdaptixC2を介してAkiraランサムウェアを配布する攻撃キャンペーンが確認された。この攻撃では、企業の担当者が検索エンジンを利用して信頼できるIT管理ソフトウェアを探す行動を悪用し、検索トラフィックそのものを侵入経路として利用している点が特徴とされる。ユーザーはManageEngine OpManagerを装った偽のダウンロードサイトへ誘導され、トロイの木馬化されたインストーラーをダウンロードさせられることで、マルウェア感染につながる仕組みとなっている。
BumbleBeeとAdaptixC2で侵害を拡大、ドメインコントローラーにも侵入
トロイの木馬化されたインストーラーの実行後、被害端末にはBumbleBeeローダーが密かに展開される。BumbleBeeはDLLサイドローディングを利用して初期段階での検知を回避し、RSA暗号化やC2通信設定を通じて後続の侵害活動に向けた基盤を構築する。さらに約5時間後にはAdaptixC2が追加で展開され、第2のC2チャネルを確立することで攻撃の持続性と制御能力を強化する。
その後、AdaptixC2のビーコンはドメインコントローラーへアクセスし、NTDS.ditのダンプを試みる。これにより、侵害された単一のワークステーションを足掛かりとしてActive Directory環境への侵入や権限昇格を進め、組織全体へ攻撃を拡大する可能性がある。
正規の検索行動を悪用、業務フローに潜む新たな感染リスク
今回の攻撃は、ユーザーが正規のITソフトウェアや関連資料を検索する過程を悪用し、悪意のあるファイルをダウンロードさせることで感染へと誘導する手口を採用している。従来のメールを利用したフィッシングとは異なり、業務で日常的に行われる検索行動そのものを攻撃経路として利用している点が特徴だ。
実際に、Swisscomへの侵害事例では、悪意のあるMSIインストーラーが管理サーバーへ直接ダウンロードされるなど、同様の侵入手法が確認されている。このように、業務フローに組み込まれた正規の操作を悪用する攻撃は今後も増加する可能性があり、検索結果の信頼性確認やソフトウェアの入手元の検証など、組織全体でのセキュリティ対策の強化が求められる。
侵入から約44時間で暗号化、正規ツール悪用による攻撃に警戒
Akiraランサムウェアは、初期感染から約44時間以内にファイルの暗号化を実行し、企業システムや業務の継続に深刻な影響を及ぼすことが確認されている。2026年に入っても活発な活動が続いており、正規ツールやドライバーを悪用して防御機能を無効化・回避する手法を採用している点が特徴だ。
セキュリティ担当者は、ソフトウェアの取得元や導入手順をこれまで以上に厳格に管理するとともに、検索エンジン経由で入手するインストーラーの真正性を十分に確認する必要がある。また、Akira、BumbleBee、AdaptixC2に共通する攻撃パターンを継続的に監視し、侵害の兆候を早期に検知できる体制を整えることが重要だ。

