Windows Updateを装った攻撃は以前から存在するが、今回確認された手口はその精巧さが際立つ。「Windows 11 24H2」の正規アップデートに見せかけたダウンロードが、ユーザーの知らないうちにシステムに侵入し、パスワードやクッキー、個人情報といった機密データを外部に送信するというものだ。正規のWindows Updateに不信感を持つユーザーほど罠にはまりやすいという点で、非常に巧妙な攻撃と言える。
何が起きているのか
攻撃者は「Windows 11 24H2」の公式アップデートに見せかけたインストーラーを配布している。見た目はMicrosoftの公式UIに酷似しており、ダウンロードページのデザインや証明書表示まで本物らしく作り込まれているケースがある。
インストールを実行すると、バックグラウンドでインフォスティーラー型のマルウェアが起動する。主な窃取対象は以下の通りだ。
- ブラウザに保存されたパスワード・クッキー・オートフィルデータ
- 暗号資産ウォレットの認証情報
- VPN・リモートデスクトップの接続情報
- ローカルに保存されたドキュメント・スクリーンショット
窃取されたデータはC2サーバー(Command & Control)に自動送信される。ユーザーには「アップデートが完了しました」といった偽の完了画面が表示されるため、被害に気づくのが遅れる構造になっている。
どこからダウンロードされているのか
主な配布経路として確認されているのは、検索エンジンの広告枠に表示される偽サイト(SEOポイズニング)、SNSや掲示板に貼られたリンク、そしてスパムメールのリンク先だ。公式の microsoft.com や windowsupdate.com ではなく、紛らわしいドメイン名(例: windows-update-24h2.com のような形式)を使っているケースが多い。
URLを見れば判断できるが、アップデート通知に焦ったり、管理者から「早急に当てるように」と言われたりした場合に確認を省略してしまうのが人間の心理だ。
実務への影響
エンドユーザーへの注意点
最も確実な対策はシンプルだ。Windowsの更新は必ずWindows Update(設定→Windows Update)から行う。 外部サイトからダウンロードしたインストーラーでWindowsを更新することはMicrosoftが想定した使い方ではない。「作り手の意図を理解し、意図された使い方をする」という原則がここでも生きる。
IT管理者・情報システム部門への推奨事項
- Windows UpdateのMDM/WSUS管理を徹底する: エンドユーザーが自分でアップデートを検索・ダウンロードする状況を作らない。IntuneやWSUSで配信を制御し、ユーザーが「外からダウンロードする必要がない」環境を整える
- EDR(Endpoint Detection and Response)の導入確認: インフォスティーラーはブラウザプロセスへのメモリアクセスなど特徴的な振る舞いをする。EDRが有効であれば検知・遮断できるケースが多い
- MFA(多要素認証)の全面適用: 仮にパスワードが窃取されても、MFAが有効であれば不正ログインを防げる。特にAzure AD(Entra ID)連携のアカウントではMFAは必須と考えるべきだ
- アプリケーション制御ポリシーの検討: Windows Defender Application ControlやApplocker等で、署名のない実行ファイルの起動をブロックする構成は有効な多層防御となる
Windows Update適用タイミングについて
「すぐに当てたら壊れた」という報告が増えている現状では、数日様子を見てから適用するという判断も現場では合理的だ。ただしその「待ち時間」に偽アップデートの誘惑が増す点に注意したい。公式チャンネルのみ利用し、サードパーティからは絶対に取得しないというルールを組織として徹底することが、このリスクに対する最善の答えだ。
筆者の見解
この種の攻撃が繰り返されるたびに感じるのは、「禁止より仕組みで防ぐ」という原則の重要さだ。「怪しいサイトからダウンロードするな」と周知するだけでは不十分で、そもそもユーザーが外部からダウンロードする必要がない状態を作ることが本質的な対策になる。MDMで更新を管理し、MFAで認証を守り、EDRで振る舞いを監視する——この三層が揃っていれば、今回のような攻撃のインパクトは大幅に下がる。
セキュリティ界隈では当たり前の話ではあるが、「今動いているから大丈夫」という感覚で止まっている組織がまだ多い。攻撃の精巧さは年々増している。インフラ側の整備を後回しにするコストは、じわじわと、しかし確実に上がっていく。正面から向き合うなら今だ。
出典: この記事は Beware! This “Windows 11 24H2” update download can quietly steal your sensitive data の内容をもとに、筆者の見解を加えて独自に執筆したものです。