🔥 この記事の詳細
2026-05-05 更新
B
今週中

CloudZ RATの新しいプラグイン「Pheno」が、Windowsの「スマートフォン連携(Phone Link)」アプリを悪用してSMSやワンタイムパスワー…

脆弱性🌐 英語ソース
📅 2026-05-05📰 bleeping
📌 一言でいうと
CloudZ RATの新しいプラグイン「Pheno」が、Windowsの「スマートフォン連携(Phone Link)」アプリを悪用してSMSやワンタイムパスワード(OTP)を盗み出す手法が確認されました。攻撃者はPC側で動作するPhone LinkのSQLiteデータベースにアクセスすることで、モバイルデバイス自体を直接攻撃することなく機密情報を取得します。これにより、二要素認証(2FA)を突破されるリスクが高まります。
🏢影響範囲
Windows 10/11を利用し、Microsoft Phone LinkでAndroid/iOSデバイスを連携させている個人および組織
該当時の対応
不審なソフトウェアのインストールを避け、エンドポイント検出および応答(EDR)による不審なプロセス監視を強化すること。また、SMSベースの二要素認証から、認証アプリや物理セキュリティキーへの移行を検討してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】PCとスマートフォンの連携機能の利用に関する注意について

お疲れさまです。情報システム担当です。
Windowsの「スマートフォン連携」機能を利用して、PCでSMSなどのメッセージを確認できる設定にしている場合、悪意のあるソフトによってその内容が盗み見られる危険性があることが判明しました。

ご協力をお願いしたいこと:
1. 心当たりのない不審なメールの添付ファイルやリンクを開かないでください。
2. PCでスマートフォン連携機能を利用している方は、不要であれば連携を解除することを検討してください。
3. 二要素認証にSMSを利用している場合は、可能な限り認証アプリ(Microsoft Authenticator等)への変更をお願いします。

対応期限: 本日中
Subject: [Security Alert] Caution Regarding Windows Phone Link Usage

Dear employees,
It has been reported that malicious software can exploit the Windows "Phone Link" feature to steal SMS messages and verification codes from your connected mobile devices.

Requested Actions:
1. Do not open suspicious email attachments or click unknown links.
2. If you use the Phone Link feature and do not strictly need it, please consider disconnecting your device.
3. We strongly recommend switching from SMS-based two-factor authentication to authentication apps (e.g., Microsoft Authenticator) where possible.

Deadline: Immediate
件名: 【共有】CloudZ RATによるMicrosoft Phone Link悪用について

お疲れさまです。CloudZ RATの新プラグイン「Pheno」に関する情報共有です。

■ 概要
CloudZ RATがMicrosoft Phone LinkのローカルSQLiteデータベースにアクセスし、同期されたSMSおよびOTP(ワンタイムパスワード)を窃取する手法が確認されました。モバイルデバイスを直接侵害せずとも、PC側の権限で認証コードを奪取できるため、MFAバイパスに繋がります。

■ 影響範囲
- Windows 10/11 で Microsoft Phone Link を利用している環境

■ 対応手順
1. EDR等の監視ツールにて、Phone Link関連のデータベースファイルへの不審なアクセスを検知するルールを検討してください。
2. 組織的にSMSベースのMFAを廃止し、FIDO2や認証アプリへの移行を推進してください。
3. 不審なRATの挙動(不審なプラグインのロード等)がないかエンドポイントのログを確認してください。

■ 参考情報
- Cisco Talos Report

対応優先度: 高
対応期限: 2026/05/10
Subject: [Technical Share] CloudZ RAT Exploiting Microsoft Phone Link

Dear Security Team,

This is a technical update regarding the 'Pheno' plugin for the CloudZ RAT.

■ Overview
Threat actors are leveraging the Microsoft Phone Link application to steal SMS and OTPs. The malware accesses the local SQLite database used by Phone Link on Windows, allowing the attacker to intercept sensitive codes without compromising the mobile device itself, effectively bypassing SMS-based MFA.

■ Scope
- Windows 10/11 systems utilizing Microsoft Phone Link for Android/iOS integration.

■ Mitigation Steps
1. Configure EDR/SIEM to monitor for unauthorized access to Phone Link's local SQLite database files.
2. Accelerate the transition from SMS-based MFA to more secure methods such as FIDO2 or TOTP apps.
3. Audit endpoint logs for signs of CloudZ RAT activity or unauthorized plugin execution.

■ Reference
- Cisco Talos Report

Priority: High
Deadline: 2026-05-10
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-05 のまとめ🔍 記事を検索