UAC‑0184がViberを踏み台に「HijackLoader→Remcos」連鎖で偵察活動を強化する意味

今日の深掘りポイント

• メッセージングアプリ（Viber）を使うことで、メール基盤のゲートウェイ検知を回避する動きが加速しています。E2EE（エンドツーエンド暗号化）とBYODの組み合わせは、組織側の可視性を確実に奪います。
• ローダー（HijackLoader）→RAT（Remcos）の汎用連鎖で、侵入から恒常的な端末管理・情報窃取まで一気通貫に到達します。コモディティ化した道具立てゆえに、発見のシグナルが弱いのが本質的リスクです。
• 戦時の情報戦としてウクライナ軍・政府に向いた作戦ですが、周辺国・NATO域内の請負企業や連携省庁に波及するシナリオが現実味を帯びます。メッセージング基盤を含む“非メール”チャネルの防御態勢が急務です。
• 緊急性・実行可能性が高く、信憑性の底も堅い事案です。新規性は限定的でも、運用現場の優先順位は高いです。EDRのプロセス連鎖監視、MDM/アプリ保護ポリシーの適用、Viber等からのファイル流入統制を最短で着手する価値があります。

はじめに

攻撃者は“人が日常的に使う場所”に寄り添います。いま、その場所がメールからメッセージングアプリへと移りつつあります。ロシア支援と見られるUAC‑0184が、Viber経由でウクライナの軍・政府機関に悪性ZIPを届け、HijackLoaderからRemcos RATへと繋げる侵入鎖を回していると報じられています。メールの外側に出たスピアフィッシングは、検知の網をすり抜けやすく、組織の可視性が落ちる分だけ初動が遅れます。ここでは、事実を踏まえつつ、どこに守りの軸足を置くべきかを整理します。

参考情報（報道・基礎資料）:

• The Hacker Newsの報道（2026/01）: 「Russia-aligned hackers abuse Viber to target Ukraine with HijackLoader, Remcos」（UAC‑0184キャンペーンの概要）［英語］https://thehackernews.com/2026/01/russia-aligned-hackers-abuse-viber-to.html
• MITRE ATT&CK: Spearphishing via Service T1566.002［英語］https://attack.mitre.org/techniques/T1566/002/
• MITRE ATT&CK: Remcos（S0332）［英語］https://attack.mitre.org/software/S0332/
• Viberのセキュリティ・E2EE説明［英語］https://www.viber.com/en/security/

（注）上記のうち、The Hacker Newsは二次情報ですが、使われたTTPとツール鎖、標的セクターの方向性を把握する一次手がかりとして有用です。TTP・ソフトウェア能力や検知観点はMITREの一次ドキュメントを併読して裏取りしています。

深掘り詳細

事実の整理（何が起きているか）

• ベクトル: メッセージングアプリViberを流通路に、標的（ウクライナ軍・政府）の受信者へ悪意あるZIPアーカイブを直接送付するスピアフィッシングが確認されています。メール・ゲートウェイの制御を迂回する設計です。The Hacker News
• 侵入鎖: ZIP展開→ユーザ実行→HijackLoader起動→Remcos RAT配置・C2確立、の典型的な二段ローダー・チェーンが使われます。RemcosはRATとして端末制御、キーロギング、情報窃取など広範な機能を備えます（MITRE S0332）https://attack.mitre.org/software/S0332/。
• 背景: ウクライナに対する情報収集（偵察・長期監視）を主眼とした作戦の一環で、軍事・政府ドメインに継続的に圧をかける意図が読み取れます。報道は「ロシア連携のUAC‑0184」によるものと位置付けています。The Hacker News

ViberのE2EE仕様（1対1・多くのグループで既定有効）は、プラットフォーム側で添付ファイルの中身スキャンを行いにくくし、検知・遮断の重心をエンドポイント側に寄せざるを得ない事情を生みます。Viber Security

インサイト（なぜ今それが効くのか）

• メール偏重の守りを突く“地の利”です。メールはSPF/DKIM/DMARCやサンドボックスで硬くなりましたが、現場チャットは“仕事の連絡が突然来る”自然さが武器になります。メッセージング由来のファイル流入が企業境界に入り込むと、従来のゲートウェイ層で可視化できず、EDRとMDMの連携が唯一の見張り台になります。
• ツールのコモディティ化が、ブレンド攻撃の“匿名性”を上げます。HijackLoaderやRemcosは入手容易で、検体ごとの個別シグネチャへの依存が裏目に出ます。検知はファイル固有名ではなく、プロセス連鎖（展開→スクリプト/ローダ→永続化→C2）という行動面に寄せるべき局面です。
• 新規性は限定的でも、緊急性は高いです。攻撃の骨格は既視感がある一方、伝送路としてのViberは業務連絡の生態系に深く入り込んでおり、標的の警戒心を削る効果が大きいです。現場投入できる対策の“実行可能性”が高いのも、優先度を上げる根拠になります。

脅威シナリオと影響

以下は、公開情報と既知のTTPに基づく仮説シナリオです。個別事案の詳細は被害組織ごとに異なる可能性があることを明示します。

• シナリオA（直攻型・短期偵察）

  • 仮説: 攻撃者はViberで軍・政府の個人（実名・電話帳ベース）にZIPを送付し、展開実行を誘導。HijackLoaderがRemcosを設置し、端末上の文書・通信・認証情報を短期吸い上げ。
  • ATT&CK想定:
    • 初期アクセス: T1566.002（Spearphishing via Service）https://attack.mitre.org/techniques/T1566/002/
    • 実行: T1204.002（User Execution: Malicious File）https://attack.mitre.org/techniques/T1204/002/
    • 防御回避・持続化（一般例）: T1036（Masquerading）https://attack.mitre.org/techniques/T1036/、T1547.001（Registry Run Keys/Startup）https://attack.mitre.org/techniques/T1547/001/
    • ローダ挙動: T1055（Process Injection）https://attack.mitre.org/techniques/T1055/
    • C2/窃取: T1071.001（Web Protocols: HTTP/S）https://attack.mitre.org/techniques/T1071/001/、T1041（Exfiltration Over C2 Channel）https://attack.mitre.org/techniques/T1041/
  • 影響: 現場オペレーションの把握、作戦計画の先読み、追加侵入（横展開）に必要な認証情報の収集が達成されます。

• シナリオB（供給網・周辺国への“にじみ出し”）

  • 仮説: ウクライナ関係の請負企業／援助機関連携チャネルにもViberで接触。個人端末→業務端末へファイル持ち込み（クラウドストレージ・USB・自己宛メール）経由で企業ネットに侵入。
  • ATT&CK想定: 初期は同様にT1566.002→T1204.002、組織内に入った後は認証情報窃取と横展開（例: T1003 Credential Dumping、T1021 Remote Services）へ移行。
  • 影響: NATO域内や周辺国の業務ネットワークに偵察が拡大し、機微文書・入札資料・物流情報の漏出リスクが高まります。

• シナリオC（長期潜伏・意思決定支援）

  • 仮説: Remcosで恒常監視を維持し、政策決定・作戦立案のタイミングに合わせて情報を取得。必要に応じて追加ペイロード展開（情報窃取特化ツール等）。
  • 影響: 意思決定の先読み・攪乱、対情報作戦の精度向上に寄与し、実際の戦場外での優位構築に資します。

いずれも、Remcos（MITRE S0332）の機能セットが中核となるため、防御側は「RATの行動」を面として捉える検知が鍵になります。https://attack.mitre.org/software/S0332/

セキュリティ担当者のアクション

メトリクス全体像からは、新規性よりも「喫緊の脅威性」と「実務への落とし込みやすさ」が際立ちます。以下は現場で“すぐ効く”順に並べています。

• 48時間以内（即応）

  • メッセージング由来のファイル流入統制
    • MDM/エンドポイント保護で、Viber等の非管理アプリから業務領域への「保存・共有・”開く”」を制限します（iOSのManaged Open-In/AndroidのWork Profile相当の“データ流出防止”設定）です。
    • セキュアゲートウェイ（SSE/CASB）を用いる場合、ブラウザ版・デスクトップ版アプリ経由のダウンロードに対しCDR/AVサンドボックスを強制します。
  • EDRハンティングの即席ルール
    • 圧縮解凍プロセス→スクリプト/ローダ実行→永続化設定→外向き通信という連鎖に注目し、以下のような一般化ルールを適用します（具体的イベント名は各EDRに合わせてください）です。
      • 解凍ツール/Explorer直後の未知プロセス生成（T1204.002）
      • rundll32/regsvr32/mshta/wscript/powershellからのネットワーク接続成立（T1059/T1105/T1071）
      • Run/RunOnceキー・スケジュールタスクへの新規書込み（T1547.001/T1053）
  • メール以外のスピアフィッシング注意喚起
    • 全社・全隊向けに「チャットで届くZIP/リンクは既知連絡経路でも二経路確認」を短文で展開します。実在の業務連絡を模した疑似演習も効果的です。

• 1〜2週間（短期強化）

  • アプリ許可リスト政策
    • 業務端末で利用可能なメッセージングアプリを限定し、非許可アプリはインストール/実行不可にします。Viber等を業務必要のある部門に限定し、隔離プロファイルでの利用に切り分けます。
  • C2検知の底上げ
    • プロキシ/NGFWで未知ドメイン・短命TLS証明書の外向き通信にリスクスコアを付け、EDRのプロセスツリーと相関します。RemcosはHTTP(S)等のアプリ層プロトコルを用いる一般事例が多く、通信だけでは埋もれるため相関が肝要です（T1071.001）です。
  • 添付ファイルポリシーの横展開
    • メール部分で既に実施している「LNK/ISO/WSF/VBS等の高リスク形式の実行・解凍制限」を、メッセージング・クラウドストレージ・外部媒体経由にも拡張します。

• 中期（1〜3か月）

  • 可視性の統合
    • モバイル管理（MDM/MAM）とEDR、SSE/CASBのイベントをXDRで相関させ、メッセージング経由のファイル流入→端末上の挙動→外向き通信の一連を1ビューで追えるようにします。
  • インテリジェンス運用
    • MITRE ATT&CKのテクニック単位でUSE CASEを文書化し、検知・ブロック・ハントの各プレイブックを整備します。特にT1566.002/T1204.002/T1055/T1547.001/T1071.001/T1041は優先度高で整備します。

最後に、E2EEはユーザのプライバシーを守る一方、サーバ側スキャンを難しくします。だからこそ、エンドポイントの実行防御とプロセス連鎖の可視化が決定打になります。攻撃者は人の信頼に寄り添ってきます。こちらは“どの流入路でも同じ行動は起きる”という前提で、行動を見張る防御へ歩みを進めるべき時期です。

参考情報:

• Russia-aligned hackers abuse Viber to target Ukrainian military/government（The Hacker News, 2026/01）https://thehackernews.com/2026/01/russia-aligned-hackers-abuse-viber-to.html
• Spearphishing via Service（MITRE ATT&CK T1566.002）https://attack.mitre.org/techniques/T1566/002/
• Remcos（MITRE ATT&CK S0332）https://attack.mitre.org/software/S0332/
• Viber Security（E2EEの基本仕様）https://www.viber.com/en/security/