要約
- 企業監視ソフトウェアツールがランサムウェアハッカーの標的となっていると、サイバーセキュリティ企業Huntressが報告。
- 新しい報告書によると、脅威アクターは従業員監視ソフトとリモート管理ツールを連携させて、企業のシステム内に持続的に潜入する手口を用いている。
- 「ボスウェア」の広範な使用により、企業の攻撃対象範囲が拡大している。
サイバーセキュリティ企業Huntressの新しい報告によると、人気の従業員監視ツールがハッカーに狙われ、ランサムウェア攻撃の足掛かりとして利用されている。2026年1月末から2月初旬にかけて、Huntressの戦術対応チームは、攻撃者がNet Monitor for Employees ProfessionalとIT部門で使用されるリモートアクセスツールのSimpleHelpを組み合わせて侵入した2件の侵入事件を調査した。
TL;DR 📌 サイバー犯罪者は従業員監視ソフトをリモートアクセス型トロイの木馬(RAT)に変え、SimpleHelpと組み合わせて暗号通貨を狙い、Crazyランサムウェアの展開を試みた。
このレポートを執筆した倫理的な勇者たち:@RussianPanda9xx、@sudo_Rem、@Purp1eW0lf、+ @Antonlovesdnbhttps://t.co/3c6qbD7l3g
— Huntress (@HuntressLabs) 2026年2月13日
報告書によると、ハッカーは従業員監視ソフトを使って企業システムに侵入し、SimpleHelpを利用して一つのアクセスポイントが遮断されてもシステム内に留まれるようにしていた。最終的にはCrazyランサムウェアの展開を試みる行動に至った。
「これらの事例は、脅威アクターが正当な市販ソフトウェアを利用して企業環境に溶け込もうとする傾向が高まっていることを示しています」とHuntressの研究者は述べている。
「Net Monitor for Employees Professionalは、労働者監視ツールとして販売されているが、従来のリモートアクセス型トロイの木馬に匹敵する機能を備えている。一般的なポートを使った逆接続、プロセスやサービス名の偽装、内蔵シェルの実行、標準的なWindowsインストール手法を用いた静かな展開などだ。これにSimpleHelpを二次的なアクセスチャネルとして組み合わせると…正規の管理ソフトウェアと見分けがつきにくい堅牢な二重ツールの足掛かりとなる。」
同社は、これらのツールは新規性があるかもしれないが、根本的な原因は露出した境界線と弱いアイデンティティ管理、特に侵害されたVPNアカウントにあると付け加えた。
「ボスウェア」の台頭
いわゆる「ボスウェア」の使用は世界的に異なるが、広く普及している。昨年の報告によると、英国の企業の約3分の1が従業員監視ソフトを使用しており、米国ではその割合は約60%と推定されている。
このソフトウェアは、一般的に生産性の追跡、活動の記録、スクリーンショットの取得に使われる。しかし、その使用には議論があり、従業員の生産性を実際に捉えているのか、それともマウスクリックやメール送信などの任意の基準に基づいて評価しているのかについても意見が分かれている。
それにもかかわらず、こうしたツールの人気は攻撃者にとって魅力的な標的となる。NetworkLookoutが開発したNet Monitor for Employees Professionalは、従業員の生産性追跡を目的として販売されているが、受動的なスクリーン監視を超える機能も備えている。逆シェル接続、リモートデスクトップ制御、ファイル管理、インストール時のサービスやプロセス名のカスタマイズなどだ。
これらの機能は正当な管理目的で設計されているが、脅威アクターが従来のマルウェアを展開せずに企業環境に溶け込むことを可能にしている。
Huntressが詳述した最初のケースでは、ホスト上の不審なアカウント操作により警告を受けた。具体的には、システムのゲストアカウントを無効化し、内蔵の管理者アカウントを有効にしようとする試みだった。複数の「net」コマンドが実行され、ユーザーの列挙、パスワードリセット、追加アカウントの作成が行われた。
分析者は、その活動をNet Monitor for Employeesに関連付けられるバイナリに追跡し、コマンド実行を可能にする擬似端末アプリケーションを生成していたことを突き止めた。ツールは外部IPアドレスからSimpleHelpバイナリをダウンロードし、その後攻撃者はWindows Defenderを改ざんし、VoidCryptファミリーの一部であるCrazyランサムウェアの複数バージョンを展開しようとした。
二つ目の侵入は2026年2月初旬に観測され、攻撃者は侵害されたベンダーのSSL VPNアカウントを通じて侵入し、リモートデスクトッププロトコル(RDP)を使ってドメインコントローラーに接続した。その後、ベンダーのウェブサイトからNet Monitorエージェントを直接インストールした。攻撃者はサービスやプロセス名を正規のWindowsコンポーネントに似せてカスタマイズし、OneDrive関連と偽装したり、実行中のプロセスの名前を変更したりした。
さらに、SimpleHelpを追加の持続的チャネルとしてインストールし、暗号通貨ウォレットや取引所、決済プラットフォームをターゲットとしたキーワード監視トリガーを設定した。Huntressは、この活動には明確な金銭的動機と意図的な防御回避の兆候が見られると述べている。
Net Monitor for Employeeの背後にある会社Network LookOutは、_Decrypt_に対し、エージェントは既に管理者権限を持つユーザーによってのみインストール可能だと述べた。「管理者権限がなければインストールはできません」とメールで回答した。
「したがって、私たちのソフトウェアをインストールしたくない場合は、無許可のユーザーに管理者アクセスを許可しないようにしてください。管理者アクセスはあらゆるソフトウェアのインストールを可能にします。」
これは、ハッカーがボスウェアを使ってランサムウェアを展開したり情報を盗んだりしようとした最初の事例ではない。2025年4月、研究者たちは、200,000人以上が使用する職場監視アプリWorkComposerが、未保護のクラウドストレージバケットに2100万以上のリアルタイムスクリーンショットを放置し、機密のビジネスデータや認証情報、内部通信を漏洩させる可能性があったことを明らかにした。
