Malwarebytesは2026年2月26日、偽のZoomおよびGoogle Meetサイトを通じて正規の商用監視ソフトウェアTeramindを不正にインストールするキャンペーンの技術的詳細分析を公開した。
2月24日に報告されたZoom亜種のドメイン uswebzoomus[.]com はNamecheapにより削除されたが、その後Google Meetを装った新たなドメイン googlemeetinterview[.]click が稼働していることが確認された。両亜種は同一のMSIバイナリ(SHA-256: 644ef9f5…9425fa)を使用し、インストーラーが自身のファイル名から攻撃者固有のインスタンスIDを読み取る仕組みを持つ。
調査では同一ハッシュを共有する14の異なるMSIファイル名が特定された。実機爆発実験の結果、ステルスモード(TMSTEALTH = 1)がデフォルトで有効であること、tsvchstとpmonの2つの常駐サービスがLocalSystem権限で展開されること、C2サーバー rt.teramind.co への約11秒間隔のポーリング、SOCKS5プロキシによるC2トラフィックの偽装機能が確認された。
ファイル名にはZoom、Google Meet、AdobeReaderなど複数のブランドが使われており、キャンペーンの拡大が示唆される。
From: 
Fake Zoom and Google Meet scams install Teramind: A technical deep dive
【編集部解説】
本件は、攻撃者が独自のマルウェアを一切作成せず、企業向けに正規販売されている商用監視ソフトウェアをそのまま「武器」として転用した事例です。この点が、従来のサイバー攻撃とは根本的に異なります。
Teramindは本来、企業が従業員の業務端末を監視するために使用する合法的な製品です。キーストロークの記録、スクリーンショットの定期撮影、ウェブ閲覧履歴やアプリケーション使用状況の記録、クリップボードの内容取得、メールやファイル操作の追跡といった包括的な監視機能を備えています。企業が従業員に周知のうえ、社内ポリシーに基づいて使用する限り、これは合法です。
しかし今回の攻撃者は、この「正規製品としての信頼性」を逆手に取りました。Microsoft MVPのスティーブン・リムの分析によれば、このキャンペーンは2026年2月11日にMicrosoft Defender for Endpoint(MDE)プラットフォームで初めて検出され、同氏の分析時点(2月25日前後)でグローバルでの検出数は1437件に達していたとされています。さらに注目すべきは、VirusTotal上でこのインストーラーを悪意あるファイルとして検知したセキュリティベンダーがゼロであったという事実です。正規の商用製品であるがゆえに、従来のシグネチャベースのアンチウイルスでは検知できないのです。
技術的に興味深いのは、単一のバイナリがファイル名の変更だけで複数の攻撃者アカウントに対応できる仕組みです。インストーラー内部の.NETカスタムアクションが自身のファイル名を解析し、そこからインスタンスIDを抽出するという設計は、もともとTeramindが企業向けに大量展開を容易にするために実装したものと考えられます。攻撃者はこの利便性をそのまま悪用し、ZoomからGoogle Meet、さらにはAdobe Readerへと偽装先を拡大しています。
この事案は、「正規ソフトウェアの悪用」(Living off the Land)という近年のサイバー攻撃トレンドの延長線上にありますが、さらに一歩進んでいます。従来のLOTL攻撃がOSに組み込まれたツール(PowerShellなど)を悪用するのに対し、今回は商用製品のステルスモードやSOCKS5プロキシといった高度な機能がそのまま攻撃インフラとして機能しています。
商用監視ソフトウェアの悪用は、ストーカーウェアの文脈でも長年問題視されてきました。AV-ComparativesとElectronic Frontier Foundation(EFF)が2025年に共同で実施した調査では、「正規の目的で販売されるアプリケーションが虐待目的で悪用されるグレーマーケット」の存在が指摘されています。TechCrunchの集計によれば、2017年以降、少なくとも27のストーカーウェア企業がハッキングやデータ漏えいの被害に遭っており、監視する側自身のデータも危険にさらされています。
今後の課題は、商用監視ソフトウェアに対するセキュリティ業界の検知アプローチの見直しです。現状では「正規製品だから検知しない」という前提が、そのまま攻撃者に有利な状況を作り出しています。ソフトウェアの正当性だけでなく、インストールの文脈——たとえばブラウザのダウンロードフォルダからの実行や、ステルスモードでの無断インストール——を検知のシグナルとして組み込む必要があるでしょう。
企業や個人にとって実践的な防御策として、ブラウザのダウンロードディレクトリからのMSI実行をアプリケーション制御ポリシーでブロックすること、そして「アプリの更新はメッセージ内のリンクからではなく、必ず公式サイトや組み込みの更新機能から行う」という基本原則を徹底することが重要です。
【用語解説】
MSI(Microsoft Installer)
Windowsアプリケーションのインストールに使用される標準的なパッケージ形式である。企業環境での一括導入にも広く利用される。
C2(Command and Control)サーバー
攻撃者が感染端末を遠隔操作・監視するために使用する指揮統制サーバーである。今回のケースでは rt.teramind.co がこの役割を担う。
SOCKS5プロキシ
ネットワーク通信を中継するプロトコルの一種である。攻撃者がこれを利用することで、監視データの送信元を偽装し、ネットワークレベルでの検知を回避できる。
サンドボックス
マルウェアの挙動を安全に分析するための隔離された仮想環境である。セキュリティ研究者が不審なファイルを実行・観察する際に用いる。
IoC(Indicators of Compromise/侵害の痕跡)
サイバー攻撃が行われたことを示す技術的な証拠である。ファイルハッシュ、悪意のあるドメイン名、IPアドレスなどが含まれる。
Living off the Land(LOTL)
攻撃者がOSやシステムに標準搭載されたツール・正規ソフトウェアを悪用してサイバー攻撃を行う手法の総称である。独自マルウェアを使わないため検知が困難になる。
ストーカーウェア
他者のデバイスに本人の同意なく秘密裏にインストールされ、位置情報やメッセージ、通話記録などを監視する目的で使用されるソフトウェアの総称である。
【参考リンク】
Teramind公式サイト(外部)
企業向けの従業員監視・内部脅威検知・データ損失防止ソリューションを提供する商用ソフトウェア企業のサイト。
Malwarebytes公式サイト(外部)
本記事の情報源であるサイバーセキュリティ企業。マルウェア対策や脅威インテリジェンスの調査・公開を行っている。
Coalition Against Stalkerware(CAS)(外部)
2019年にEFFやKasperskyなどが共同設立した、ストーカーウェアに対抗するための国際連合。
【参考記事】
Fake Zoom meeting “update” silently installs surveillance software(Malwarebytes)(外部)
偽のZoom待機室がTeramindのステルスインストーラーを自動配信する手口を詳述した第一報の記事。
Fake Zoom meeting leads to silent install of surveillance software(Help Net Security)(外部)
MDE初検出日やVirusTotal検知率ゼロなど、スティーブン・リムの分析を引用した報道記事。
Fake Zoom update covertly installs spy tool(Cybernews)(外部)
偽Microsoft Store画面で被害者を欺く心理的手法と感染確認・除去手順を解説した記事。
Hacked, leaked, exposed: Why you should never use stalkerware apps(TechCrunch)(外部)
2017年以降27社がデータ漏えい被害に遭った、監視ソフト業界全体の脆弱性を検証した記事。
Stalkerware Detection Test 2025(AV-Comparatives / EFF共同レポート)(外部)
13製品のストーカーウェア検知能力を評価し、正規ツール悪用のグレーマーケットを指摘した報告。
【編集部後記】
ZoomやGoogle Meetのリンクをクリックする瞬間、皆さんはどれくらい送信元やURLを確認されていますか。今回の事例では、クリックからインストール完了までわずか30秒とされています。私たちの日常に溶け込んだツールほど、その信頼が狙われやすいのかもしれません。「いつものアプリだから大丈夫」——その習慣を一度立ち止まって見直してみることが、最も身近な防御になるのではないでしょうか。
