Microsoft Threat Intelligenceは2026年6月25日、欧州とアジアのホテル・旅行業界を標的とした多段階侵入キャンペーンを確認したと公式ブログで報告した。攻撃者は「写真テーマのZIPファイル」と偽の画像ショートカットを組み合わせ、検知を回避しながらNode.jsベースのインプラントを展開、標的システムへの永続的なアクセスを確立する手口を用いている。

攻撃の全体像:多段階で「無害に見せる」設計

今回確認されたキャンペーンの最大の特徴は、各段階で「無害なファイル」に見せる工夫が施されている点だ。攻撃の入口は写真ファイルに見せかけたZIPアーカイブ。内部には実際の画像ではなく、Windowsショートカット(.lnk)ファイルが仕込まれており、これを開くことで攻撃チェーンが始動する。

偽ショートカットはPowerShellやwscript.exeなどのシステム標準ツールを呼び出し、外部サーバーからペイロードを取得する「Living off the Land(LotL)」手法を採用。最終的にNode.jsランタイムを悪用したインプラントが展開され、攻撃者はC2(コマンド&コントロール)サーバーとの通信を通じて、感染端末への継続的なアクセスを維持する。

なぜNode.jsが使われるのか

Node.jsはWebアプリケーション開発で広く使われる正規のランタイム環境だ。多くの企業環境でインストール済みか、インストールが許可されているため、セキュリティソフトのホワイトリストを通過しやすい。また、JavaScriptベースのマルウェアは難読化が容易で、署名ベースの検知を回避しやすいという特性もある。

攻撃者がカスタムマルウェアを書く代わりに「正規ツール+スクリプト」を組み合わせるアプローチは、近年の高度な脅威グループが多用する手口だ。企業の監視ツールが「既知の悪意あるバイナリ」を探すのに対し、正規のnode.exeが走っているだけでは検知トリガーがかかりにくい。

なぜホスピタリティ業界が狙われるのか

ホテルや旅行代理店は、サイバー攻撃者にとって魅力的なターゲットを複数抱えている。

クレジットカード情報と個人データの宝庫:チェックインやオンライン予約のフローには、決済情報・パスポート番号・滞在履歴など価値の高い個人情報が集中する。

写真ファイルへの心理的抵抗が低い:旅行業界ではホテルの客室写真や観光スポットの画像を日常的にやり取りする文化がある。「写真ZIP」という偽装は、この業種の業務フローにフィットしたソーシャルエンジニアリングと言える。

サードパーティとの接続が多い:OTA(Online Travel Agency)、決済ゲートウェイ、予約システムなど多数の外部サービスと連携しているため、侵害後のラテラルムーブメント(横方向への移動)や二次被害の範囲が広がりやすい。

実務への影響:日本のIT管理者がとるべき対策

日本でも欧州・アジアをまたぐ旅行業・ホテルチェーンは多数存在する。今回のキャンペーンは日本を明示的なターゲットとは報告されていないが、「アジア」という記述から対岸の火事と見るのは危険だ。

即時確認事項

  • エンドポイントでのNode.jsの実行ポリシーを確認する。業務で不要な環境にインストールされていないか棚卸しを行う
  • .lnkファイルの実行をグループポリシーで制限する(特にメール添付・ダウンロードフォルダ内からの実行)
  • 外部ZIPファイルを開く前のサンドボックス検査フローを整備する

中長期の対策

  • Microsoft Defender for Endpointを導入済みの環境では、「Attack Surface Reduction(ASR)ルール」の有効化を確認する。LotL攻撃に対して特に有効なルールが複数存在する
  • 不審なプロセスの親子関係(wscript.exe → powershell.exe → node.exe など)を検知するための行動ベースのルールをSIEMに追加する
  • 写真・画像ファイルを業務でやり取りする部門には、「拡張子を必ず確認する」「ショートカットファイル(.lnk)に注意する」という具体的なフィッシング訓練を実施する

筆者の見解

セキュリティの話は細かい話が多くてあまり好きではないのだが、今回のキャンペーンは「攻撃者の設計思想」として純粋に興味深い。ショートカットファイル→LotL→Node.jsインプラントという構成は、「バイナリを落とさない」「正規プロセスの中に隠れる」という方向性が一貫しており、完成度が高い。

この種の攻撃が増えている背景として、従来の「既知のマルウェアを検知する」モデルが限界を迎えつつあることがある。もはや「見知らぬ実行ファイルが来たら止める」では足りない。プロセスの挙動・ネットワーク通信の文脈・ユーザーの行動パターンを総合的に見る「ゼロトラスト的な行動分析」が必要になっている。

Microsoft Defender for Endpointは、こうした行動ベースの検知においてかなりの水準に達してきている。今回の脅威インテリジェンスを自社製品の検知シグネチャに素早くフィードバックできるエコシステムは、Microsoft統合環境の強みだ。セキュリティ対策をバラバラのポイントソリューションで積み上げるより、M365 E5レベルの統合環境で一元管理する方向性は、こういうケースで特に力を発揮する。

日本の企業、特に大手ホテルチェーンや旅行業者は、クレジットカード情報を大量に扱いながらもIT部門が手薄なケースが珍しくない。「今動いているから大丈夫」という感覚は通用しない時代に入っている。今回のMicrosoftの報告を機に、自社のエンドポイント保護とプロセス監視の現状を棚卸しする価値は十分にある。

出典: この記事は Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access の内容をもとに、筆者の見解を加えて独自に執筆したものです。