📝 どんなニュース?

米サイバーセキュリティ会社Securonixが、米国を中心に80組織以上を侵害したフィッシング攻撃キャンペーン「VENOMOUS#HELPER」を公表しました。攻撃者は米社会保障局(SSA)を装ったメールで偽の「給付明細書」をダウンロードさせ、正規の遠隔管理ツール「SimpleHelp 5.0.1」と「ConnectWise ScreenConnect」を被害者自身の手で2系統同時にインストールさせる手口です。EDR(端末防御製品)が「正規ツールの利用」と判断するため検知をすり抜けやすく、片方が遮断されてももう一方で侵入を継続できる二重チャネル構造になっています。攻撃は2025年4月から続いており、SophosがすでにSTAC6405として追跡していたクラスターと同一系統です。つまり、企業のIT部門が日常的に使う遠隔管理ツールそのものが「合法的な裏口」として転用される、という攻撃パラダイムの移行を示す事案です。

📰 元記事・原文引用

元ネタPhishing Campaign Hits 80+ Orgs Using SimpleHelp and ScreenConnect RMM Tools(The Hacker News / 2026年5月4日)

A customized SimpleHelp and ScreenConnect RMMs are used to bypass defenses as they are legitimately installed by the unsuspecting victim.

🔥 なぜ今、話題になっているの?

このキャンペーンが業界で議論を呼んでいるのは、「マルウェアではなく正規ソフトを武器化する」攻撃の完成度が一段上がったからです。背景には3つの構造があります。

① EDR包囲網への適応:近年のエンドポイント防御は実行ファイルの署名や挙動を機械学習で監視するため、無署名のマルウェアは即遮断されます。攻撃者は答えとして「英国SimpleHelp Ltdの正規Thawte証明書で署名されたバイナリ」を選び、JWrapperでパッケージ化された官公庁書類風のファイル名で起動させました。検証する側からは「IT部門がいつも使うツールが起動した」ようにしか見えません。

② 冗長化された永続性:SimpleHelp 5.0.1とScreenConnectを併用するのは贅沢なようでいて、実は合理的な設計です。Securonixが「冗長な二重チャネル・アクセスアーキテクチャ」と呼ぶこの構成は、片方が検知・削除されても残る側でアクセスが継続できる。さらにマルウェア本体はSafe Modeでも起動し、強制終了されると自動再起動するself-healing watchdogを実装、67秒ごとにセキュリティ製品の存在をWMI経由で確認しています。「殺しても蘇る」運用設計が標準化しつつあると読むのが自然です。

③ ランサムウェア前段としてのIAB市場:Securonixは攻撃者像を「金銭目的のInitial Access Broker(IAB=企業ネットワーク侵入後にアクセス権を別グループへ転売するブローカー)またはランサムウェア前段オペレーション」と評価しています。これは2025年に欧米で爆発的に拡大したRaaS(Ransomware-as-a-Service)市場の上流工程の話で、侵入と暗号化が分業化した結果、「とりあえず侵入だけして売る」専門業者が生まれた。VENOMOUS#HELPERはこの上流専門業者の進化形と読めます。

🇯🇵 日本企業・日本社会への影響は?

このニュースを「米国の話」で済ませられないのは、SimpleHelpもScreenConnectも日本のIT保守会社・MSP(マネージドサービス事業者)が日常的に使う遠隔管理ツールだからです。中小企業の社内サーバ運用、リモートサポート、医療機関のシステム保守などで標準的に使われており、被害者の手元では「いつもの保守業者からの正規メール」と区別がつきません。

類似の構造は、すでに日本国内でも顕在化しています。2025年に警察庁が発表した「IT保守業者経由のランサムウェア急増」警告(中小製造業中心)はまさに保守業者を踏み台にした攻撃で、本件の系譜に連なるものです。日本年金機構や国税庁の名を騙るフィッシングメールは過去に何度も観測されているため、「日本の年金・社会保険関連機関を装った偽メール+正規RMM配布」という日本ローカライズ版が登場するのは時間の問題と見るべきでしょう。

個人として警戒すべきは、官公庁や保守業者を名乗るメールから「.exe」「.msi」「.jws」(JWrapper)形式の添付・リンクを受け取った場合に、「証明書が正規だから安全」と判断しないことです。署名の有効性とソフトウェアの安全性は別問題で、攻撃者は正規ベンダーの署名済みバイナリをそのまま転用できます。組織側はSimpleHelp・ScreenConnectの実行ファイルが想定外のユーザ環境で起動していないか、EDRで「正規ツールの異常な使い方」を検知する設定(バイナリ実行+外部接続のシーケンス監視など)への切り替えが急務です。

まとめ

VENOMOUS#HELPERが示しているのは、サイバー攻撃の主戦場が「未知のマルウェア」から「既知の正規ツールの転用」へ移ったという構造変化です。日本企業も同じツールを使っている以上、年金機構や税務署を装った日本版が登場する前提で備える必要があります。「証明書が有効=安全」という旧来の判定基準を、組織のセキュリティ運用から早急にアップデートすべき時期に来ています。