CalendlyもGoogleも「正規」なのに危険 Microsoftが暴いた多段階侵入キャンペーンの全貌：メール認証を突破する新手口

Microsoftは「認証ロンダリング」と呼ぶ新たな攻撃モデルについて解説した。攻撃者はCalendlyやGoogle、Cloudflareといった正規サービスを巧みに組み合わせ、電子メール認証をすり抜ける手口を展開するという。

[＠IT]

　Microsoftは2026年6月25日（現地時間）、「認証ロンダリング」と呼ぶ新たな多段階侵入キャンペーンについて解説した。電子メール認証だけでは安全性を判断できない新たな攻撃モデルとして注意を促している。

　Microsoft Threat Intelligenceによると、この活動は2026年4月以降、欧州と日本を含めたアジアの複数組織で観測されている。攻撃者は日程調整サービス「Calendly」やGoogle、Cloudflareといった正規サービスを連鎖的に悪用し、電子メール認証を通過したフィッシングメールから最終的にNode.jsベースのインプラントを展開していたという。

CalendlyやGoogleを悪用　日本を狙う巧妙な侵入キャンペーンの全貌

　初期侵入では、「photo-＜ランダム数字＞.zip」と名付けられたZIPアーカイブが使われた。第1波では「IMG-＜ランダム数字＞.png.lnk」、第2波では「PHOTO-＜ランダム数字＞.png.lnk」という画像ファイルを装ったショートカット（LNK）ファイルが格納されていた。LNKファイルのサイズは1989〜2079バイトに集中しており、同一の生成ツールで作成された可能性が高いという。

　被害端末やアカウント名には「reception」「frontdesk」「reservations」「accueil」「recepcja」「recepce」「frontoffice」など、受付や予約業務を示す名称が含まれていた。Microsoftはこのキャンペーンを宿泊業界を狙ったものだとし、画像や書類の添付ファイルを日常的に受け取るホテルのフロントや予約担当者を重点的に狙った攻撃だったと分析している。

　2026年5月下旬以降、攻撃者はCalendlyの電子メール通知基盤とGoogleのURLリダイレクト機能を悪用した。差出人表示名は「Booking Manager（via Calendly）」とし、ホテル業務に関係する通知を装って送信していた。

　電子メールの件名は日本語やデンマーク語、オランダ語で作成され、「宿泊客からの苦情」「南京虫被害」「確認電話」「客室状態の問い合わせ」「滞在レビュー」など、担当者が対応を急ぐ内容を装っていた。一方で件名には個人名やホテル名はほとんど使われず、「guest」や「your accommodation」といった汎用（はんよう）的な表現が多く確認されており、大量配信型のキャンペーンだったとみられる。

　この攻撃では電子メールがCalendlyの正規送信基盤から配信されるため、SPFやDKIM、DMARCによる電子メール認証を正しく通過する。Microsoftは、このように正規サービスの送信基盤を利用して悪意あるメールの信頼性を高める手法を「認証ロンダリング」と呼んでいる。

　電子メール内のリンクは、CalendlyのリダイレクトURLからGoogleの「share.google」を経由し、最終的に「photo-*.cfd」ドメインのフィッシングページに誘導された。さらに、このページはCloudflare配下に設置され、「Turnstile」による人間確認を表示することで、自動解析ツールやサンドボックスによる分析を妨害していた。Microsoftは、share.googleを経由しないパターンも確認しており、Calendlyから直接フィッシングサイトに誘導するケースも存在したとしている。

PowerShellからNode.jsへ、多段階で侵入を拡大

　LNKファイルを実行すると「PowerShell」が起動し、BigIntを利用した難読化デコーダーが実行される。キャンペーン全体を通じて、BigIntによる復号、Invoke-WebRequestによる通信、追加のPowerShellスクリプト取得という流れは共通していた。

　第2波では新たに、PowerShellが「csc.exe」を利用して.NET DLLを動的にコンパイルし、「cvtres.exe」を経由して小型DLLを生成する中間ステージが追加された。この処理は第1波には存在せず、攻撃チェーンがさらに高度化していることを示している。

　取得されたPowerShellスクリプトは％TEMP％から実行され、その後Node.jsベースのインプラントを起動する。攻撃者は正規サイトから取得した「node-v24.13.0-win-x64」をユーザーが書き込み可能なディレクトリに配置し、端末にNode.jsがインストールされていなくてもJavaScriptベースのマルウェアを動作できるようにしていた。Node.jsインプラントはPowerShell経由で隠し子プロセスも生成し、後続の通信や制御を担っていた。

Defenderを無効化し、二重の永続化で感染を維持

　防御を回避する手法としては、「Add-MpPreference -ExclusionProcess」を利用し、AppData\Local\Temp配下の実行ファイルを「Microsoft Defender」の除外対象に追加していた。これにより、Microsoft Defender自身に「このプロセスは検査しなくてよい」と設定させ、その後のマルウェア実行を検知しにくくしていた。

　続いてランダム名の実行ファイルや「is-*.tmp」形式のヘルパープログラムを「/SL5」「/VERYSILENT」などの引数付きで起動し、ペイロードを「C:\ProgramData\＜ランダム＞\＜payload＞.exe」にコピーして安定した実行環境を構築した。

　永続化には二重の仕組みが使われた。HKCU\RunOnceにはProgramData配下の実行ファイルを、HKCU\RunにはNode.jsコンポーネントを登録していた。RunOnceは本来一度だけ実行される仕組みだが、この攻撃では実行後に自らレジストリに再登録することで、実質的に永続化を実現していた。

　Microsoftは、ある侵害端末でMicrosoft DefenderがPEペイロードを「Wacatac」として検知・削除した後も、HKCU\Runに登録されたNode.jsインプラントが残り、約2日後に再びC2通信が始まった事例を確認した。このため、ProgramData側の実行ファイルだけでなく、Node.jsランタイムや関連するJavaScriptファイル、RunおよびRunOnceのレジストリ設定まで含めて削除しなければ完全な復旧は難しいとしている。

Microsoftが推奨する検知ポイント

　C2通信では8443や8445、8453、5555、56001〜56003などの標準外ポートが使われた他、「178.16.54[.]27」や「sec-safe-dc[.]info」など、一部のIPアドレスやドメインは第1波および第2波で継続的に利用されていた。PowerShellの難読化手法は7段階に変化し、XORや減算、16進数変換、算術演算、長いランダム変数名、forループなどを組み合わせていたが、最終的に埋め込みデータを復号して次段階のスクリプトを取得する構造自体は共通していた。

　Microsoftは、個々の文字列や難読化パターンだけに依存したシグネチャ検知ではなく、LNKファイルの実行、PowerShellによる復号、％TEMP％へのステージング、ユーザー領域でのNode.js実行、Defender除外設定、ProgramDataへの永続化といった一連の挙動を組み合わせた行動ベース検知が有効だとしている。

　また宿泊業界や近接するサービス業に対し、受付や予約担当者が利用する端末を優先的に調査し、「.cfd」ドメインへの通信、標準外ポート、HKCU\RunおよびRunOnceへの登録、ヘッドレスブラウザの実行、突然のシャットダウンなどの痕跡を確認するよう呼び掛けている。

　今回の事例は、攻撃者がCalendlyやGoogle、Cloudflareといった正規クラウドサービスを組み合わせることで、電子メール認証や従来のセキュリティ対策をすり抜けようとしている実態を示した。Microsoftは、送信元の正当性だけで安全性を判断するのではなく、端末上でどのような挙動が発生したかを継続的に監視することの重要性を改めて強調している。