セキュリティ企業Cisco Talosは2026年5月5日(米国時間)、Windowsの「スマートフォン連携(Phone Link、旧称Your Phone)」を標的とする遠隔操作型トロイの木馬「CloudZ」のプラグイン「Pheno」による攻撃を発見したと発表した。PC Watchが本日報じたこの件は、OTP窃取につながりうる可能性を含む深刻なセキュリティ上の懸念として注目されている。
なぜPhone Linkが狙われるのか
スマートフォン連携(Phone Link)はWindows 10/11に標準搭載されたMicrosoft純正機能で、AndroidスマートフォンとPCをBluetooth/Wi-Fi経由で連携させる。PC画面上でSMSの送受信、通知確認、写真共有が可能になる便利な機能だが、「PCからスマートフォンのSMSにアクセスできる」という特性が攻撃者の目に留まったとみられる。
多くのオンラインサービスでSMSや認証アプリを使ったOTP(ワンタイムパスワード)が二段階認証に使われている現在、PCからSMSへの経路を押さえることはアカウント乗っ取りへの大きな足掛かりになりうる。
Cisco Talosが明かした攻撃の全体像
初期侵入と持続化
Cisco Talosのレポートによると、攻撃は偽の「ScreenConnect」アプリのアップデートファイルを実行させることから始まる。正規リモートデスクトップソフトのアップデートに見せかけた手口だ。その実態は.NETローダーであり、update.txtやmsupdate.txtといったテキストファイルに偽装してシステムに潜伏する。内蔵のPowerShellスクリプトがタスクスケジューラーにタスクを登録し、Windows正規ツールregasm.exeを悪用することでシステム起動時の自動実行を確保する。
検知回避と本体展開
セキュリティツールの稼働状況や仮想マシン環境かどうかを詳細にチェックし、安全が確認されると難読化されたモジュール型マルウェア「CloudZ」をメモリ上に展開。外部サービスからC2サーバーの接続情報(IPアドレス・ポート)を取得し、攻撃者の指揮下に入る。
Phenoプラグインの動作
最終段階としてC2サーバーの指示で「Pheno」プラグインが組み込まれる。PhenoはPhone Linkが動作しているかを監視し、その結果をC2サーバーへ送信する動作が確認されている。
現時点での脅威レベル
重要な点として、Cisco Talosは現時点の観測では「Phone Linkが起動しているかの監視」までしか確認していない。 SMS・OTPを含むSQLiteデータを実際に傍受・送信するという「本来の脅威」については、あくまで「可能性がある」という表現にとどめている。
ただし、攻撃が少なくとも2026年1月から継続していることも判明しており、偽ScreenConnectが使われていることからITエンジニアやリモートデスクトップ利用者が標的になりやすい。攻撃インフラが既に整備されていることは確かだ。
日本市場での注目点
Phone LinkはWindows 11の標準機能として多くのPC利用者が利用できる状態にある。日本では銀行・金融サービス・各種SNSアカウントでSMS認証が広く使われており、OTP窃取に発展した場合の被害は甚大だ。
現時点で推奨される対策は以下のとおり:
- 不審なソフトウェアのアップデートに注意する(特にScreenConnectなどリモートデスクトップ系ツール)
- Phone Linkを使用していない場合はアプリを無効化する
- Microsoft Defender等のセキュリティツールを最新状態に保つ
- 企業環境では、Phone Linkの利用ポリシーを明確化する
筆者の見解
Phone Linkは、MicrosoftがWindowsとAndroidの統合体験を磨いてきた成果の一つだ。PCとスマートフォンをシームレスにつなぐ方向性は正しく、ユーザーへの実用的な価値も大きい。しかし今回の件は、その「便利さ」がそのままアタックサーフェスになりえることを改めて示した。
CopilotにせよPhone Linkにせよ、Microsoftが積み上げてきたエコシステム統合の価値は本物だと思う。だからこそ、その信頼を守るセキュリティ設計が問われる。「機能を提供して終わり」ではなく、攻撃者がどう悪用するかを先読みした防御設計がプラットフォームとしての責務だ。
Cisco Talosのレポートが「監視のみ確認」という慎重な表現を選んでいる点は評価できる。センセーショナルに煽らず、確認事実と懸念を分けて伝えるこうした姿勢がセキュリティ業界の信頼を保つ。Phone Link利用者はこの報告を受け、セキュリティ設定を見直す良い機会としてほしい。
出典: この記事は Windows「スマートフォン連携」を狙うマルウェア発見。OTP窃取につながる可能性 の内容をもとに、筆者の見解を加えて独自に執筆したものです。