チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「人事や請求書のメールはよく開くけど、これも罠かもしれない?」
「日本だけ狙っていた攻撃グループが欧州まで広げたって、何を恐れたらいいの?」
チップスボス、これまで日本を狙っていた中国系のTA4922が、欧州やアフリカにも手を広げているんでしゅよね?
ボスそうだな。日本での実績を踏まえて多言語化を進めている。マルウェアの種類も増えていて、Atlas RATやSilentRunLoaderが次々と投入されているぞ。
本記事ではProofpointが報告した中国系犯罪グループTA4922の最新動向と、人事・請求書テーマのフィッシングがどう仕掛けられるか、日本企業が引き続き取るべき備えを整理していきます。
読み終えた時には、HRや経理を狙うフィッシング攻撃の現在地と、自社の防御で押さえるべき要点が見えてきます。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずはTA4922の素性と、なぜ活動範囲を広げているのかを整理します。
Proofpointによれば、TA4922は中国語を話す犯罪グループで、もとは東アジア、なかでも日本を主標的としてきました。
動機は財務目的とされ、最終的なゴールは情報窃取、不正送金、被害環境へのアクセス販売、長期潜伏など複数のパターンを使い分けています。
2026年に入ってからは、英国・ドイツ・イタリア・南アフリカといった地域へ標的を広げており、過去最速のキャンペーン展開ペースが指摘されています。
主要なキャンペーンを時系列で整理すると、攻撃のテーマと配布マルウェアの変遷が見えてきます。
主な動きは以下のとおりです。
| 時期 | 標的地域・テーマ | 配布マルウェア |
|---|---|---|
| 2026年3月 | 日本/HR系ルアー | Atlas RAT |
| 2026年3月23日 | 日本/企業・HRテーマ | RomulusLoader |
| 2026年4月7日 | 日本/請求書テーマ | Atlas RAT |
| 2026年4月10日 | 東南アジア・英/福利厚生テーマ | SilentRunLoader |
チップス請求書や福利厚生のメールって、業務で普通に届くやつでしゅから、見分けが難しいんでしゅけど…
ボスそこを突くのがTA4922の常套手段だ。だからこそ、人間の目線だけで止めずに技術的な多層防御を仕込んでおくことが必要になる。
続いて、攻撃チェーンの中身と、防御側で押さえるポイントを整理します。
TA4922の典型的なチェーンは、フィッシングメールでアーカイブをダウンロードさせ、その中に同梱した正規実行ファイルから悪性DLLをサイドロードさせる流れです。
サイドロードされたDLLが最終的にAtlas RATやRomulusLoader、SilentRunLoaderといったローダーやRATを展開します。
Atlas RATの代表的な機能は以下のとおりです。
TA4922が狙う部署は、開封率の高い人事・経理・調達といったオフィスワーカー層に偏っています。
これらの部門で実装したい対策の優先度は、以下のとおりです。
チップス請求書や福利厚生のメールが届いた時こそ、開く前に一拍置く習慣が大事なんでしゅね!
ボスそうだな。ProofpointのTA4922解説記事は、攻撃チェーンの詳細まで触れているから一読をおすすめする。
TA4922は、日本での蓄積をもとに多言語・多地域に展開し始めた中国系犯罪グループです。
HR・請求書・福利厚生というオフィス業務の生活感を巧みに利用し、DLLサイドロードで検知回避とアクセス維持を両立する点が特徴です。
メールゲートウェイのファイル制御、EDRでの挙動監視、そしてオフィス部門の継続訓練という三本柱で、引き続きフィッシング対策を強化していきましょう。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
