チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「SMSで届くワンタイムパスワードを使っていれば、2要素認証は安全だと思っていたのですが大丈夫でしょうか?」
「Microsoft Phone Linkでスマホと連携している社用PCが、攻撃の起点になることはあるのでしょうか?」
チップスボス、PCとスマホをつなぐPhone Linkは便利でよく使ってるんでしゅが、まさかそこからSMSのOTPが盗まれるなんてないでしゅよね?
ボスところがCisco Talosが発見した「CloudZ」というRATは、まさにそのPhone Linkを悪用してSMSやOTPを抜き取る。スマホ本体に感染しなくても、PC側からモバイルの通知が筒抜けになるという話だ。
本記事では、Talosが2026年5月に公表したCloudZ RATとPhenoプラグインの仕組みを整理し、SMSベース2要素認証から脱却すべき理由を解説します。
3行で分かるニュースのポイント
記事を読み終える頃には、SMS-OTPから認証アプリやFIDOキーに移行すべき具体的な根拠が手に入ります。
オススメ案件
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
Cisco Talosは2026年5月6日、少なくとも同年1月から続く侵害を分析し、新型RAT「CloudZ」とプラグイン「Pheno」を公表しました。
攻撃者はWindows PCに常駐するMicrosoft Phone Linkに着目しました。
Phone LinkはAndroid端末と双方向同期を行い、SMSや通知をPC側のSQLiteデータベース「PhoneExperiences-*.db」に保存します。
Phenoプラグインはこのファイルを直接参照し、認証アプリの通知やSMS-OTPをそのまま窃取します。
CloudZ本体は2026年1月13日にコンパイルされた.NET実行ファイルで、ConfuserExで難読化されています。
主要機能はメモリ上で動的に実行され、デバッガーやサンドボックス検査を回避するため、従来のシグネチャ型アンチウイルスでは捕捉が困難です。
初期侵入から永続化までの流れは段階的に設計されており、各段階で異なる検知回避手法が組み込まれています。
Talosの分析によると、CloudZの感染経路は以下の流れで進みます。
各段階で正規ツールに偽装する点が共通しており、IT管理者が気づきにくい構造になっています。
正規RMMのアップデートを装ったRust製ローダーが実行され、後続コンポーネントを展開する。
中間ローダーが難読化されたCloudZ RAT本体をメモリ上にロードする。
「YourPhone」「PhoneExperienceHost」など稼働中のPhone Link関連プロセスを継続的にスキャンする。
SMS・OTP・通知が格納されたPhoneExperiences-*.dbを直接読み取り、外部C2サーバーに送信する。
チップスうわっ、スマホ本体にウイルスを入れなくても、PCのデータベースを見るだけでSMS認証コードが盗めちゃうんでしゅか!
ボスそういうことだ。この種の攻撃が成立する以上、SMSベース2FAは「持っていないより遥かにマシ」程度の補強策と捉えるべきだな。詳細はCisco Talosの公式分析にも目を通しておけ。
CloudZの登場で、SMSベース2要素認証はマルウェア感染した端末を巡って簡単に迂回されるリスクが現実化しました。
業務PCのEDR導入に加え、認証経路をSMS-OTPからTOTPアプリやFIDO2セキュリティキーに切り替える検討が必要です。
Phone Linkを業務利用する場合は、保存先データベースのアクセス権限と転送ポリシーを見直し、攻撃の足場になる前にコントロールを効かせるべきです。
オススメ案件
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
