Microsoftが「Photo ZIPキャンペーン」を公開-ホテル業界を標的にしたサイバー攻撃キャンペーン|セキュリティとITのニュース-セキュリティ対策Lab

投稿日時: 2026年06月30日更新日時: 2026年06月30日

Microsoft脅威インテリジェンスチームは2026年6月25日、欧州・アジアのホテル・宿泊施設業界の組織を標的にした多段階の侵入キャンペーンを確認したとして詳細な技術レポートを公開しました。「Photo ZIPキャンペーン」と呼ばれるこの攻撃は、2026年4月から活動が確認されており、5月末からは合法的なスケジュール管理サービスCalendlyのメール通知インフラとGoogleのURLリダイレクト機能を悪用してフィッシングメールをSPF・DKIM・DMARC認証チェックのすり抜けで配信するという新手法「認証ランダリング（Authentication Laundering）」が加わりました。

攻撃者は「photo-ランダム数字.zip」というZIPアーカイブの中に偽装した画像ショートカットファイル（LNK）を仕込み、フロントデスク担当者などが誤って開くとPowerShellを経由してNode.jsベースのインプラントが展開され、二重のレジストリ持続化と非標準ポートでのC2通信が確立されます。攻撃者は既知の脅威アクターには帰属されていません。

サマリー

発表日：2026年6月25日（Microsoft Defender Security Research Team・Parth Jomadkar）
標的：欧州・アジアのホテル・宿泊施設業界
攻撃開始：2026年4月
新たな配信手法（5月末〜）：Calendlyメール基盤＋GoogleリダイレクトによるSPF/DKIM/DMARC突破（認証ランダリング）
送信者表示名：「Booking Manager（via Calendly）」
フィッシングルアー：ゲスト苦情・ベッドバグ報告・客室状態確認・口コミ依頼等（日本語・デンマーク語・オランダ語）
初期ペイロード：photo-ランダム数字.zip → IMG/PHOTO-ランダム数字.png.lnk（PNG偽装ショートカット）
攻撃チェーン：LNK実行 → 難読化PowerShell → Node.jsインプラント → 二重レジストリ持続化 → 非標準ポートでのC2通信
Wave 2の追加：PowerShellからcsc.exeによる動的.NET DLLコンパイル、Cloudflare背後の.cfdドメイン追加
確認済みの侵害後活動：C2ビーコニング・強制シャットダウン・PEペイロードのコンパイル
最終目的：現時点で不明。難読化・持続化への投資から、後続活動の準備段階と推定
帰属：既知の脅威アクターへの帰属なし

項目	内容
発表機関	Microsoft Threat Intelligence
発表日	2026年6月25日
標的業種	ホテル・宿泊施設（欧州・アジア）
活動開始	2026年4月
配信手法	Calendly＋Googleリダイレクト経由（認証ランダリング）
初期ペイロード	PNG偽装LNKファイル（photo-/photo-*.zip内）
最終ペイロード	Node.jsインプラント＋二重レジストリ持続化
C2通信	非標準ポート
ルアー言語	日本語・デンマーク語・オランダ語
帰属	未帰属

1 何が起きたか
2 認証ランダリング- CalendlyとGoogleを悪用してSPF/DKIM/DMARCを突破
3 誘い文句の手口 -日本語ルアーも確認
4 攻撃チェーンの詳細（Wave 1とWave 2）
5 Node.jsインプラントと二重レジストリ持続化
6 宿泊施設・旅行業の情報システム部門が取るべき対応
7 FAQ

何が起きたか

Microsoftの脅威インテリジェンスチームは、2026年4月以降に欧州・アジアの複数のホテル・宿泊施設業界の組織で同一のキャンペーンによる侵入を確認しました。

攻撃の最終目標は現時点では判明していませんが、難読化と持続化の維持に多くのリソースが投じられており、端末を後続の活動に向けて準備している段階とMicrosoftは評価しています。確認された侵害後の活動はC2ビーコニング・強制シャットダウン・PEペイロードのコンパイルです。

Microsoftは侵害を受けた端末の命名パターンから攻撃者が意図的に宿泊施設の予約・フロント担当のスタッフを標的にしていることを確認しています。侵害が確認されたシステムのユーザーアカウント名には、英語（reception・frontdesk・reservations）のほか、フランス語（accueil）・ポーランド語（recepcja）・チェコ語（recepce）・スペイン語（frontoffice）といった各国語の「受付」を意味する単語が含まれていました。これは宿泊施設の日常業務として写真・文書の添付ファイルを扱う頻度が高いスタッフを選別して標的にする攻撃者の戦略を示しています。

認証ランダリング- CalendlyとGoogleを悪用してSPF/DKIM/DMARCを突破

2026年5月末から確認された配信手法の進化がこのキャンペーンの技術的な核心です。Microsoftが「認証ランダリング（Authentication Laundering）」と命名したこの手法は、フィッシングメールがカレンダー管理SaaSのCalendlyのメール通知インフラを中継して配信されることで、SPF（送信元IPアドレスの正当性確認）・DKIM（メール改ざんの検知）・DMARC（なりすまし検知と処理ルール）という3つのメール認証チェックをすべて通過してしまうというものです。

仕組みは次のとおりです。攻撃者はCalendlyのシステムを使ってメール通知を生成し、その本文にGoogleのURLリダイレクト機能を経由した悪意あるリンクを埋め込みます。受信側のメールセキュリティシステムが確認するのは「このメールはCalendlyから送られた正規の通知か」という点であり、実際にCalendlyのインフラから送信されているため認証チェックを通過します。

受信者に表示される送信者名は「Booking Manager（via Calendly）」であり、ホテル業界のスタッフが日常的に利用する予約・スケジュール管理ツールからの通知に見えるよう設計されています。

誘い文句の手口 -日本語ルアーも確認

フィッシングメールには日本語・デンマーク語・オランダ語のルアーが確認されており、いずれもホテル業界の日常業務に関連する緊急性の高い内容になっています。

日本語で確認されたルアーのテーマには、深刻なゲストの苦情・ベッドバグ（南京虫）の苦情と確認の電話・ゲストの滞在口コミ依頼・客室の状態確認があります。デンマーク語・オランダ語でも同様のルアーが使われていました。

重要な特徴は、これらのメールが完全に非個人的であることです。受信者の名前・ゲスト名・組織名は一切含まれておらず、すべてのメールが「ゲスト」「施設」「あなたの宿泊施設」という匿名の言及しか持ちません。これは標的を絞ったスピアフィッシングではなく、リスト全体への大量配信であることを示します。攻撃者は「最終警告」「衛生当局の検査」「業務停止の可能性」といった緊急性・風評リスクへの圧力を使って、フロント担当者にリンクをクリックさせることを狙っています。

日本語のルアーが含まれていることは、欧州だけでなく日本のホテル・旅館・宿泊施設も標的範囲に入っていることを意味します。

攻撃チェーンの詳細（Wave 1とWave 2）

Wave 1（2026年4月〜）

フィッシングリンクをクリックするとブラウザから「photo-ランダム数字.zip」がダウンロードされます。ZIPを開くと中に「IMG-ランダム数字.png.lnk」というファイルが入っています。拡張子は.lnkですが、ファイル名が.pngで終わっているためWindowsの既定設定では「PNG画像」に見えます。これを写真だと思って開くとショートカットファイルが実行され、難読化されたPowerShellスクリプトが起動します。

観測されたLNKファイルのサイズは1,989〜2,079バイトの範囲に一貫して収まっており、同一のビルダーツールが使われていることを示唆しています。

Wave 2（進化版）

Wave 2ではファイル名のプレフィックスが「IMG-」から「PHOTO-」（大文字）に変わっています。技術的な変化として、PowerShellダウンローダーがcsc.exe（.NETのC#コンパイラ）を呼び出して動的に.NET DLLをコンパイルするステージが追加されました。これにより静的なファイルハッシュによる検出がさらに困難になります。また攻撃者はドメインインフラを拡大し、Cloudflareの後ろに隠れた.cfdドメインを追加しています。

Node.jsインプラントと二重レジストリ持続化

攻撃チェーンの最終段階でNode.jsベースのインプラントが展開されます。Node.jsはJavaScriptランタイムとして開発者向けに広く使われており、Node.jsが動作していること自体は多くの環境で正規の活動として見える可能性があります。攻撃者はこの特性を活かして検知を回避しています。

インプラントは「二重レジストリ持続化」によって再起動後も生き続けます。Windowsのレジストリに2か所にわたって実行を維持するエントリを書き込む手法で、片方が削除されても残った方で継続できる耐障害性を持ちます。

C2通信は非標準ポートを使って行われます。一般的なHTTP（80番）やHTTPS（443番）ではなく予期されないポートを使うことで、ポートベースのネットワーク監視をすり抜けることを狙っています。

宿泊施設・旅行業の情報システム部門が取るべき対応

Microsoftは以下の緩和策と検知推奨を発表しています。

メール配信の観点では、「Booking Manager（via Calendly）」を送信者名とするメールへの警戒を全スタッフに周知することが最初の対策です。Calendlyや外部サービス経由で届くリンク付きメールをクリックする前に、配信元とリンク先URLを慎重に確認するプロセスを設けてください。GoogleリダイレクトURL（google.com/url?q=…）を含むリンクは最終的なリンク先を隠している可能性があります。

ファイル取り扱いの観点では、Windowsの設定で既知のファイル種類の拡張子を表示するように変更し、.lnkファイルが偽装されにくくなる設定を推奨します。ブラウザからダウンロードしたZIPファイルを開く際はウイルス対策ソフトが実行済みであることを確認してください。

ネットワーク監視として、非標準ポートへの外部通信やNode.jsプロセスからの外部通信を異常として検出するルールをSIEM・EDRに追加することを推奨します。

エンドポイント検知としてMicrosoftは、Microsoft Defenderによる「SuspiciousPowerShellDownload」「LnkFileExecutingMaliciousCommand」「NodeJsImplantC2Activity」等のアラートが参考になるとしています。MicrosoftはGitHub上で本キャンペーンのIoC（C2ドメイン・IPアドレス・ファイルハッシュ）を公開しており、これらをセキュリティ製品に登録することを推奨しています。

FAQ

Q. 日本のホテルも標的になっていますか？

A. はい。Microsoftのレポートは「欧州・アジア」を標的地域と明示しており、日本語のフィッシングルアー（深刻なゲストの苦情・ベッドバグの苦情・口コミ依頼等）が実際に観測されています。日本語を使ったルアーが存在する以上、日本の宿泊施設が標的に含まれていることは明確です。

Q. 「認証ランダリング」とは何ですか？

A. Microsoftが本レポートで使った新しい概念です。CalendlyのようなSaaSサービスのメール送信インフラを悪用することで、実際には攻撃者が生成したフィッシングメールをCalendlyからの正規の通知に見せかける手法です。メールのSPF・DKIM・DMARCという3つの認証チェックが、Calendlyの送信インフラを通過するために「正規」として通過してしまいます。マネーロンダリング（資金洗浄）になぞらえ、フィッシングを「正規の送信元」でロンダリングするという意味で命名されています。

Q. Node.jsがインストールされていない端末は安全ですか？

A. 安全とは言えません。攻撃チェーンにはNode.jsランタイムを同梱して展開する手法が含まれる場合があり、端末に事前にNode.jsが存在しなくてもインプラントが展開されうるケースがあります。

Q. .lnkファイルの実行を防ぐにはどうすればいいですか？

A. グループポリシーでLNKファイルの実行をブロックする・Windows Defenderの「ASR（攻撃対象領域の削減）ルール」でダウンロードフォルダからの実行形式ファイルの起動を制限する・ブラウザのダウンロード時に実行形式ファイルの拡張子を警告表示する設定を有効にするといった対策が有効です。また「既知のファイル種類の拡張子を表示する」設定を全端末で有効にすることで、「.png」に見せかけた「.png.lnk」の正体が分かりやすくなります。

出典