Grandoreiro×BTMOB：イベリアとラテンを跨ぐWindows/Android二面攻撃が、銀行認証と多要素認証の「隙間」を突く件です

今日の深掘りポイント

• WindowsのGrandoreiroとAndroidのBTMOBという異種プラットフォームの組み合わせは、認証情報窃取とMFA回避を同時に狙う二正面作戦になり得ます。企業側の「ID保護」と「端末保護」が分断されている組織は特に脆いです。
• GrandoreiroのDLLサイドローディングは、正規サイン済み実行ファイルの信頼を足場に防御をすり抜ける典型的な防御回避で、EDR/AVの静的判定に依存した環境では検出遅延が生じやすいです。
• BTMOBがアンダーグラウンドで約700ドルで流通するという報道は、Android RATのコモディティ化を示します。参入障壁が下がり、キャンペーンの「量」が増える方向にインセンティブが働きます。
• 攻撃の初期焦点はスペイン・ポルトガル・メキシコ、モバイルはブラジルという地域性ですが、送金・決済の相互接続性を踏まえると、サプライヤーや現地拠点経由で日本企業の資金移動プロセスに波及し得ます。
• 全体の脅威像は「確度が高く・即時性も高い一方、独自性は中庸」という評価に落ち着きます。既知TTPの組み合わせで堅実に成果を上げてくるタイプで、運用コントロールとハンティングの両輪が鍵です。

はじめに

ラテン系バンキングトロジャンの古株であるGrandoreiroと、新顔のAndroid RATであるBTMOBが、イベリア半島と中南米を主戦場に企業と個人のオンラインバンキングを脅かしています。報道では、GrandoreiroがDLLサイドローディングを軸にWindowsで認証情報を奪い、BTMOBがフィッシング経由でAndroid端末の遠隔操作を可能にすることで、詐欺実行までの一連の工程をカバーしているとされています。
日本国内だけを見ていると距離のある話に映りますが、現地拠点・サプライチェーン・グローバル送金に接点があれば、これは「自社の資金移動プロセス」を直撃し得る攻撃面です。技術要素は新奇というより“こなれている”からこそ、運用の隙に入り込みやすいのが厄介です。今日は事実関係を正面から押さえつつ、組織にとっての現実的なリスクと対処の勘所を整理します。

深掘り詳細

事実関係（確認できる情報）

• GrandoreiroはWindows向けの銀行型マルウェアで、DLLサイドローディングを用いてペイロードを実行し、金融機関向けの認証情報窃取機能を持つと報じられています。主な狙いはスペイン、ポルトガル、メキシコの企業です。
• BTMOBはAndroid端末を遠隔操作できるRATで、主にフィッシング経由で拡散し、ブラジルのモバイルユーザーが標的になっています。
• 報道では、Grandoreiroはポルトガルの銀行を含む数千の金融機関を狙い、BTMOBはおおよそ700ドルで流通しているとされています。Grandoreiroは2016年頃から活動し、多数国に拡大してきた系譜に位置づけられます。
• 以上はいずれもThe Hacker Newsの報道に基づく要点です。一次報告の詳細や追加のIoCは今後の各社レポートを待つ必要があります。
  参考: The Hacker News (2026-05-28): Grandoreiro malware and BTMOB RAT campaigns

編集部インサイト（攻撃連鎖の見取り図と運用上の示唆）

• 二面作戦の補完関係
  Windows側でオンラインバンキングや企業の支払ポータルの資格情報を収集し、詐欺送金の段でAndroid側にBTMOBを入れてSMS・プッシュ・ワンタイムコードの受領や画面操作を奪う、という“資格情報→MFA突破→資金移動”の流れが見えます。これは既存のバンキング詐欺が好む工程分業で、部門横断の対策を崩しに来る手口です。編集部としては、技術的妙味よりも「業務プロセスの連結点」を突かれる怖さに注目しています。
• DLLサイドローディングの厄介さ
  DLLサイドローディング（MITRE ATT&CK: Hijack Execution Flow/ DLL Side-Loading）は、正規のサイン済みバイナリのロード順序を悪用するため、ファイル単体の署名検証や一般的なブラックリストに寄った防御をすり抜けやすいです。検出は「どのサイン済み実行ファイルが、どのディレクトリから、どの未署名DLLを読んだか」という実行時相関を見る必要があり、EDRの振る舞い検知と許可リスト型制御（WDAC/AppLocker）の並走が効いてきます。
• コモディティ化が意味するもの
  約700ドルでRATが手に入る市場では、攻撃者は「質の向上」より「数の増加」に寄ります。地理フィルタや言語最適化を用いた“小分け”のキャンペーンが多数走る前提で、ブロック率95%の世界よりも、残り5%に早く気づく運用（アラート疲れを起こさない相関・抑止フロー）が勝負を分けます。

脅威シナリオと影響

以下は報道に基づく事実を起点にした仮説シナリオです。実際のインシデント対応では、自組織のログと一致点を検証することが前提になります。

• シナリオA：企業支払アカウントの乗っ取りと即時詐欺送金

  1. フィッシングリンク経由で従業員のWindows端末にGrandoreiroが侵入（ATT&CK: Initial Access/Phishing: T1566.002、User Execution: T1204）。
  2. 正規バイナリ経由でDLLサイドローディングにより実行・常駐（Defense Evasion: Signed Binary Proxy Execution: T1218、Hijack Execution Flow/DLL Side-Loading: T1574.002、Persistence: T1547）。
  3. ブラウザ保存資格情報・セッション情報を窃取（Credential Access: Credentials from Web Browsers: T1555.003、Input Capture: T1056.001 の可能性）。
  4. 攻撃者が送金操作段階で対象ユーザーにSMS/メッセージを送り、AndroidにBTMOBを誘導してMFAを迂回（ATT&CK for Mobile: フィッシング/不正アプリ配布、アクセシビリティ悪用、通知読み取り・画面操作・SMS取得）。
  5. WebプロトコルでC2通信しつつ取引を実行（Command and Control: Web Protocols: T1071.001、Exfiltration Over C2 Channel: T1041）。
     影響は、即時の資金流出、取引先・金融機関との係争コスト、内部統制評価の毀損です。

• シナリオB：海外拠点・委託先経由の「地理ギャップ」悪用
  イベリア/ラテン圏の現地ベンダーやBPO委託先の端末でGrandoreiroが動作し、支払承認フローの一部が乗っ取られる仮説です。日本側では異常に気づきづらく、対外送金が平常パターン内で実行されるため、検出は「人」と「プロセス」の摩擦点に依存しがちです。

• シナリオC：個人端末のBYOD経由でのビジネス影響
  BYODなAndroidにBTMOBが入り、業務用SaaSのMFA受信やプッシュ承認を横取りする仮説です。直接の銀行詐欺だけでなく、会計SaaSやERPに波及し、請求書情報や支払先口座の書き換えにつながる二次被害が想定されます。

総じて、影響の大きさは「技術の新規性」ではなく「ビジネスプロセスへの食い込み深度」に比例します。資金移動の職務分掌や承認経路が紙の上では二重でも、実装レベルでモバイルMFAに依存していれば、脅威の通り道は一本になります。

セキュリティ担当者のアクション

優先度と即効性を意識した打ち手を、Windows/Android/業務プロセスの三層でまとめます。

• Windows（Grandoreiro想定）

  • DLLサイドローディング対策の土台づくりです
    • WDAC/AppLockerで「特定のサイン済み実行ファイルが自身と同ディレクトリの未署名DLLをロードする」パターンを原則拒否します（影響調整のため監査モード→段階適用が現実的です）。
    • EDRに「Signed Binary Proxy Execution（T1218）＋ネットワーク接続」相関ルールを設けます（例：rundll32やmsiexec、正規アプリがユーザー書込み可能ディレクトリからDLLを読み、その直後に外向き通信を開始）。
  • フィッシング初期侵入の抑止です
    • メール・WebのURLリライトとサンドボックスを標準化し、ダウンロード検知だけでなく「ブラウザ起点の子プロセス起動」をブロックします。
    • Office/PDF/圧縮ファイルからのスクリプト実行を既定拒否し、例外は署名・ハッシュでの明示許可に寄せます。
  • ハンティングの観点です
    • サイン済み実行ファイルが非標準パスのDLLをロードした事実、ユーザープロファイル配下に新規DLLが作成され即時に読み込まれた痕跡、ネットワーク接続を伴うrundll32の実行などを週次で洗い出します。

• Android（BTMOB想定）

  • MDM/Android Enterpriseでの強制力です
    • 不明ソースからのアプリインストールを禁止し、Managed Google Play経由の配布に限定します。
    • アクセシビリティサービスの付与・通知読み取り・SMS読み取りなど高リスク権限は原則禁止し、必要アプリのみ許可します。
    • Play Protectの有効化と、未知アプリの即時隔離・アンインストールフローを標準運用にします。
  • BYODポリシーの現実解です
    • 金融・会計SaaSや送金承認のMFAは、FIDO2セキュリティキーを優先し、SMS/通話ベースは原則廃止します。どうしてもSMSを使う場合は、業務MFAを個人SIMに依存させない運用（専用端末・専用回線）に寄せます。

• 業務プロセス（「MFA突破」を前提にした最終防御）

  • 資金移動の「二経路・二者承認」を実装で担保します（例：申請と承認の端末が別系統、承認は固定回線IP＋FIDO2限定など）。
  • 海外拠点・委託先の送金は、事前登録先のみ許可し、変更時は別系統の本人確認を必須にします。
  • 取引監視は「異常検知」の前に「行為制限」を置きます（新規受取人・高額・時間外・新デバイスからの操作は自動保留し、人的レビューに回す）ことが効果的です。

• インシデント対応の初動手順（標準化）

  • WindowsでGrandoreiro系の兆候を検知したら、当該端末の資格情報・セッションを全面リセットし、銀行・決済・会計SaaSの認可トークンを失効させます。
  • AndroidでBTMOB系の挙動が見られたら、即時の機内モード化→MDMでワイプ、銀行・SaaSの登録デバイス解除を“その場で”実施します。
  • 同時に、支払・送金の一時停止と金融機関への通報ラインを明文化しておきます。

• ログとインテリジェンスの整備

  • WebProxy/DNS/EDR/MDMのタイムラインを統合し、フィッシング着弾→実行→外向き通信→認証イベント→送金イベントの相関をワンクリックで引ける可観測性を用意します。
  • 地域特化のフィッシング（スペイン語・ポルトガル語）も訓練対象に含め、ヘルプデスクが即時に端末隔離とアカウント凍結を代行できる運用にします。

編集部としては、今回の脅威は「技術的な巧妙さ」より「プロセス連結の巧妙さ」に重心があると見ています。MFAという安心装置の“境界面”にAndroid RATを差し込まれると、技術栈だけでは守り切れません。最終的にものを言うのは、送金というビジネス行為の前後に置いた“人とプロセスの摩擦”をいかに適量に設計できるかです。

参考情報

• The Hacker News: Grandoreiro malware and BTMOB RAT campaigns（2026-05-28） https://thehackernews.com/2026/05/grandoreiro-malware-and-btmob-rat.html