Windowsの「Phone Link」機能を悪用する新たなトロイの木馬「CloudZ RAT」が確認されました。Cisco Talosの調査をAndroid Authorityが伝えたもので、攻撃は2026年1月から継続中とされています。偽のソフトウェア更新を入口に、スマートフォンとPCの間で同期されたメッセージやワンタイムパスワード(OTP)が盗まれる可能性があります。

偽のScreenConnect更新から始まる感染経路

攻撃の入口は、一見ごく普通のソフトウェア更新に見えます。被害者は正規のものに見せかけたScreenConnectのアップデートをインストールするよう誘導されますが、このインストーラーは偽物です。実際には何も更新されず、代わりに本物のマルウェアを引き込む隠しプログラムがインストールされます。

CloudZ RATが起動すると、典型的なリモートアクセス型トロイの木馬として動作します。設定をアンロックし、攻撃者が管理するリモートサーバーに接続して指示を待ちます。その後、保存されたブラウザの認証情報など機密データの抜き取りを開始しますが、目立った警告は表示されません。

Phone Linkを狙う専用プラグインの存在

特に注目すべき点は、CloudZ RATがPhone Linkを標的にした追加プラグインをダウンロードすることです。このプラグインは「Pheno」と呼ばれていると報じられています。PhenoはPhone Linkアプリをスキャンして関連データを収集し、一時フォルダに保存します。CloudZ RATはその一時フォルダのデータを回収し、攻撃者のサーバーへ送信します。

Phone Linkはスマートフォンとパソコンを連携させる便利な機能ですが、この仕組みが逆に弱点になり得ます。Android Authorityは「接続の安全性は、最も脆弱なリンクの安全性と同じだ」と指摘しています。PCが感染していれば、2台のデバイス間で共有されるメッセージやOTPが傍受される可能性があります。

「Phone Linkをやめる必要はない」——ただし過信は禁物

Android Authorityは、この問題はPhone Linkの使用を停止すべきことを意味するわけではないと述べています。ただし、リスクがゼロではないことを認識する必要があります。

今回の攻撃が成立する理由は、正規のものに見えるという点にあります。偽のアップデートはそれだけで十分な入口になり得ます。対策として有効なのは以下の点です。

  • 信頼できるソースからのみソフトウェアをダウンロードする
  • アンチウイルスプログラムによる継続的な脅威検出を有効にしておく

感染が疑われる場合は、速やかに感染デバイスをネットワークから切断し、他のデバイスとの同期を避けることが重要です。Android Authorityは「安全を保証する単一の解決策は存在しない」としており、注意と意識を持ち続けることが最善の防御になると伝えています。

Phone Linkを日常的に使用しているユーザーは、ソフトウェアの更新元を必ず確認する習慣をつけることが、現時点でできる最も現実的な対策です。

Q&A

Q. 今すぐPhone Linkの使用をやめるべきですか? Android Authorityは、Phone Linkの使用を停止する必要はないと述べています。ただし、PCが安全な状態に保たれていることが前提です。信頼できるソースからのみソフトウェアをインストールし、アンチウイルスを常時有効にしておくことが推奨されています。

Q. ScreenConnectの正規アップデートと偽物を見分けるにはどうすればよいですか? ソース記事では具体的な見分け方は示されていません。一般的な対策として、ソフトウェアは必ず公式サイトや信頼できる配布元から入手することが推奨されています。不審なリンクや予期しないアップデート通知には応じないことが重要です。

Q. 感染した場合、どう対処すればよいですか? 感染が疑われる場合は、速やかに該当デバイスをネットワークから切断し、他のデバイスとの同期を停止することが重要です。Android Authorityは「安全を保証する単一の解決策は存在しない」としており、早期の対応が被害を最小限に抑える鍵になると伝えています。

出典