🔥 この記事の詳細
2026-07-02 更新
B
今週中

脅威アクターToddyCatが、Google APIを悪用してGmailへの不正アクセスを試みる新マルウェア「Umbrij」を運用していること

事案🌐 英語ソース
🖥️ 製品Gmail
📅 2026-07-02📰 hackernews
📌 一言でいうと
脅威アクターToddyCatが、Google APIを悪用してGmailへの不正アクセスを試みる新マルウェア「OAuthトークンを窃取しGmailへアクセスするマルウェア">Umbrij」を運用していることが判明しました。この攻撃は「Shadow Token via Remote Debug (STRD)」と呼ばれ、Chromiumベースのブラウザのリモートデバッグポートを介してOAuthトークンを窃取します。これにより、攻撃者はユーザーの認証情報を直接盗むことなく、メール通信への持続的なアクセス権を獲得します。
🔍該当判定
  • 社内で Google Workspace (Gmail) を利用している
  • Google Chrome や Edge などの Chromium 系ブラウザを利用している
  • 外部アプリや自社開発ツールを Google API 経由で Gmail と連携させている
上記いずれにも該当しない → 静観でOK
該当時の対応
ブラウザのリモートデバッグ機能を無効化し、不審なOAuthアプリケーションの権限付与を監視・制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ToddyCatによるOAuthトークン窃取マルウェア「Umbrij」について

お疲れさまです。ToddyCatによる新キャンペーンに関する情報共有です。

■ 概要
新マルウェア「Umbrij」が、Chromiumベースのブラウザのリモートデバッグポートを悪用してOAuthトークンを窃取し、Google API経由でGmailにアクセスする手法(STRD: Shadow Token via Remote Debug)が確認されました。

■ 影響範囲
- Chromiumベースのブラウザを利用し、Google API/Gmailを運用している環境

■ 対応手順
1. エンドポイントにおけるブラウザのリモートデバッグポート(デフォルト: 9222等)の不要な開放を禁止する設定を確認してください。
2. Google Workspace管理コンソールにて、不審なサードパーティ製アプリへのOAuth権限付与がないか監査してください。
3. 異常なAPIアクセスログ(特にヘッドレスモードでのアクセス)を監視してください。

■ 参考情報
- Kaspersky Report

対応優先度: 中
対応期限: 随時
Subject: [Intel] Umbrij Malware Abusing OAuth for Gmail Access

Hi team,

We are sharing information regarding a new campaign by the threat actor ToddyCat.

■ Overview
A new malware named 'Umbrij' utilizes a technique called 'Shadow Token via Remote Debug (STRD)'. It connects to the remote debugging port of Chromium-based browsers to acquire OAuth tokens, enabling unauthorized access to Gmail via the Google API.

■ Scope
- Environments using Chromium-based browsers and Google API/Gmail.

■ Mitigation Steps
1. Ensure that browser remote debugging ports (e.g., 9222) are disabled or restricted on endpoints.
2. Audit OAuth application permissions within the Google Workspace Admin Console for unauthorized third-party apps.
3. Monitor API logs for anomalous access patterns, specifically those originating from headless browser sessions.

■ Reference
- Kaspersky Report

Priority: Medium
Deadline: As soon as possible