サイバーセキュリティ

VENOMOUS#HELPERフィッシングキャンペーン、RMMツールを悪用して米国80以上の組織を標的に

2026年5月5日4分で読めます

By マーカス・ウェーバー — CISSP認定、サイバーセキュリティジャーナリズムで12年

VENOMOUS#HELPERフィッシングキャンペーン、RMMツールを悪用して米国80以上の組織を標的に

目に見えないところに潜むフィッシングキャンペーン

VENOMOUS#HELPERと呼ばれる高度なフィッシングキャンペーンが、米国全土で80以上の組織に侵害をもたらしています。特に懸念されるのは、攻撃者が独自に構築したツールではなく、借用した既存のツールを悪用しているという点です。このキャンペーンは、正規のリモート監視・管理（RMM）ソフトウェア、具体的にはSimpleHelpとScreenConnectを悪用し、被害者のネットワーク内に永続的なリモートアクセスを確立します。

RMMツールは、IT部門やマネージドサービスプロバイダーがエンドポイントをリモートで診断・更新・管理するために広く使用されています。企業のセキュリティフィルターから信頼されているため、攻撃者にとって通常のネットワークトラフィックに紛れ込むための魅力的な手段となっています。VENOMOUS#HELPERはこの信頼を最大限に利用しています。

攻撃の連鎖は、被害者を侵害されたビジネスウェブサイトへ誘導するフィッシングメールから始まります。実在する、かつて正規だったドメインを使用することで、未知のサイトや新規登録サイトをフラグ立てするメールセキュリティフィルターやウェブ評判チェックをかいくぐることができます。被害者が悪意のあるコンテンツを操作すると、RMMソフトウェアがひそかにインストールされ、再起動やエンドポイントスキャン、一部のセキュリティツールの導入をも生き延びる持続的な足がかりが攻撃者に与えられます。

RMMソフトウェアがリスクになる理由

VENOMOUS#HELPERが浮き彫りにした根本的な問題は、SimpleHelpやScreenConnectが本質的に安全でないということではありません。これらは毎日何千もの正規のITチームが使用する信頼性の高い製品です。問題は、攻撃者がこれらのツールを有用にしている機能、すなわち軽量なインストール、持続的な接続性、ネットワーク内での横断移動能力を武器化する方法を見つけ出したことにあります。

一度インストールされると、RMMエージェントは通常、多くのファイアウォールがデフォルトで許可している標準的なウェブポートを通じてアウトバウンド通信を行います。つまり、不正なRMMセッションを制御する攻撃者は、隣接するシステムへ横断移動したり、データを外部に流出させたり、追加のマルウェアを展開したりすることができ、それでいてネットワーク監視ダッシュボード上では通常のIT活動のように見えます。

侵害されたサードパーティのウェブサイトを配信メカニズムとして使用することで、防御側にとってさらなる困難が加わります。未知のドメインや署名されていない実行ファイルにフラグを立てるといった従来の侵害指標は、セキュリティツールがすでに無害と分類しているサイトからペイロードが届く場合には効果が薄れます。

あなたへの影響

個人、特にリモートまたはハイブリッド環境で働いている方にとって、このキャンペーンは、雇用主が業務用デバイスの管理に使用するソフトウェアが適切に管理されなければ現実のリスクをもたらすという警告です。RMMツールは通常、昇格された権限で実行されます。攻撃者がそのチャネルを制御すれば、あなたのマシンとその上にあるファイルや認証情報に広範にアクセスできるようになります。

これはパニックになる理由ではありませんが、質問をする理由にはなります。従業員は、自分のデバイスにどのリモートアクセスソフトウェアがインストールされているか、誰がセッションを開始できるか、そしてそれらのセッションが記録・監査可能かを知る正当な利益を持っています。責任ある雇用主はこれら3つの質問すべてに明確に答えられるはずです。

組織にとって、VENOMOUS#HELPERはゼロトラストの原則が実践においていかに重要かを示しています。ゼロトラストアーキテクチャは、信頼されたツールや既知のIPアドレスから発信されるトラフィックが自動的に安全であるとは見なしません。すべてのセッション、すべてのアクセス要求、すべての横断接続が検証されます。多要素認証とネットワークセグメンテーションと組み合わせることで、このアプローチは攻撃者が最初の足がかりを得た後でもできることを大幅に制限します。

企業ネットワーク内でのVPN使用もここで役割を果たします。リモートワーカーと内部リソース間の暗号化トンネルは、機密トラフィックの傍受リスクを軽減し、RMM型の攻撃者が突破しなければならない一貫した認証チェックポイントを作り出します。

実行可能な対策

個人の従業員であれ、組織のセキュリティを担当している方であれ、VENOMOUS#HELPERが明らかにしたことへの対応として取るべき具体的な手順があります。

個人向け：

IT部門に、業務用デバイスにインストールされているRMMソフトウェアを確認し、リモートセッションの開始・記録方法に関する書面によるポリシーを求めてください。
たとえ見慣れたプロフェッショナルに見えるものでも、外部ウェブサイトへ誘導するメールには注意してください。
事前のはっきりとした要求なしにソフトウェアをインストールしたり、昇格された権限を要求したりするものは報告してください。

組織向け：

導入されているすべてのRMMツールを監査し、承認済みのバージョンのみが既知の設定でエンドポイントに存在することを確認してください。
RMMソフトウェアが承認済みのベンダーインフラ外のサーバーと通信できないよう制限してください。
アプリケーション許可リストを導入し、未承認のRMMエージェントの実行を防止してください。
フィッシングシミュレーションを一度限りの演習としてではなく、特に外部ベンダーと連携する従業員に対して、継続的なプログラムとして実施してください。

VENOMOUS#HELPERは、攻撃者がいかに現代のIT環境に適応するかを示す有益なケーススタディです。セキュリティツールと直接戦うのではなく、信頼されたソフトウェアを隠れ蓑として利用する方法を見つけ出しています。最善の防御は多層的なものです。懐疑的なユーザー、厳格なネットワークポリシー、そして侵害が常に起こりうると想定するセキュリティアーキテクチャの組み合わせです。

// よくある質問

VENOMOUS#HELPERキャンペーンとは何ですか？

VENOMOUS#HELPERは、米国全土で80以上の組織に侵害をもたらした高度なフィッシングキャンペーンです。正規のリモート監視・管理ソフトウェア、具体的にはSimpleHelpとScreenConnectを悪用し、被害者のネットワーク内に永続的なリモートアクセスを確立します。

攻撃はどのように始まりますか？

攻撃の連鎖は、実在するかつて正規だったドメインを使用して、侵害されたビジネスウェブサイトへ被害者を誘導するフィッシングメールから始まります。被害者が悪意のあるコンテンツを操作すると、RMMソフトウェアがデバイスにひそかにインストールされます。

なぜRMMツールはこのキャンペーンで攻撃者にとって特に有用なのですか？

RMMツールは企業のセキュリティフィルターから信頼されており、多くのファイアウォールがデフォルトで許可している標準的なウェブポートを通じてアウトバウンド通信を行うため、攻撃者は通常のネットワークトラフィックに紛れ込むことができます。軽量なインストール、持続的な接続性、ネットワーク横断能力といった機能が、悪意のある目的にとって効果的なものにしています。

なぜ防御側はこのキャンペーンを検出することが難しいのですか？

このキャンペーンはセキュリティツールがすでに無害と分類しているサードパーティの侵害されたウェブサイトを使用しているため、従来の侵害指標の効果が薄れます。また、悪意のある活動はネットワーク監視ダッシュボード上で通常のIT活動として表示されます。

このキャンペーンは個々の従業員にどのようなリスクをもたらしますか？

RMMツールは通常、昇格された権限で実行されるため、そのチャネルを制御した攻撃者はファイルや認証情報を含む被害者のマシンに広範にアクセスできます。リモートまたはハイブリッド環境で働く従業員は特にリスクにさらされていると指摘されています。