チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「SMSで届くワンタイムパスワードを使っていれば、2要素認証は安全だと思っていたのですが大丈夫でしょうか?」
「Microsoft Phone Linkでスマホと連携している社用PCが、攻撃の起点になることはあるのでしょうか?」
チップスボス、PCとスマホをつなぐPhone Linkは便利でよく使ってるんでしゅが、まさかそこからSMSのOTPが盗まれるなんてないでしゅよね?
ボスところがCisco Talosが発見した「CloudZ」というRATは、まさにそのPhone Linkを悪用してSMSやOTPを抜き取る。スマホ本体に感染しなくても、PC側からモバイルの通知が筒抜けになるという話だ。
本記事では、Talosが2026年5月に公表したCloudZ RATとPhenoプラグインの仕組みを整理し、SMSベース2要素認証から脱却すべき理由を解説します。
3行で分かるニュースのポイント
記事を読み終える頃には、SMS-OTPから認証アプリやFIDOキーに移行すべき具体的な根拠が手に入ります。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
Cisco Talosは2026年5月6日、少なくとも同年1月から続く侵害を分析し、新型RAT「CloudZ」とプラグイン「Pheno」を公表しました。
攻撃者はWindows PCに常駐するMicrosoft Phone Linkに着目しました。
Phone LinkはAndroid端末と双方向同期を行い、SMSや通知をPC側のSQLiteデータベース「PhoneExperiences-*.db」に保存します。
Phenoプラグインはこのファイルを直接参照し、認証アプリの通知やSMS-OTPをそのまま窃取します。
CloudZ本体は2026年1月13日にコンパイルされた.NET実行ファイルで、ConfuserExで難読化されています。
主要機能はメモリ上で動的に実行され、デバッガーやサンドボックス検査を回避するため、従来のシグネチャ型アンチウイルスでは捕捉が困難です。
初期侵入から永続化までの流れは段階的に設計されており、各段階で異なる検知回避手法が組み込まれています。
Talosの分析によると、CloudZの感染経路は以下の流れで進みます。
各段階で正規ツールに偽装する点が共通しており、IT管理者が気づきにくい構造になっています。
正規RMMのアップデートを装ったRust製ローダーが実行され、後続コンポーネントを展開する。
中間ローダーが難読化されたCloudZ RAT本体をメモリ上にロードする。
「YourPhone」「PhoneExperienceHost」など稼働中のPhone Link関連プロセスを継続的にスキャンする。
SMS・OTP・通知が格納されたPhoneExperiences-*.dbを直接読み取り、外部C2サーバーに送信する。
チップスうわっ、スマホ本体にウイルスを入れなくても、PCのデータベースを見るだけでSMS認証コードが盗めちゃうんでしゅか!
ボスそういうことだ。この種の攻撃が成立する以上、SMSベース2FAは「持っていないより遥かにマシ」程度の補強策と捉えるべきだな。詳細はCisco Talosの公式分析にも目を通しておけ。
CloudZの登場で、SMSベース2要素認証はマルウェア感染した端末を巡って簡単に迂回されるリスクが現実化しました。
業務PCのEDR導入に加え、認証経路をSMS-OTPからTOTPアプリやFIDO2セキュリティキーに切り替える検討が必要です。
Phone Linkを業務利用する場合は、保存先データベースのアクセス権限と転送ポリシーを見直し、攻撃の足場になる前にコントロールを効かせるべきです。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
