CyberNetSec.io が報じたのは、Obsidian を悪用して PHANTOMPULSE RAT を配布する、かなり狙いを絞った攻撃キャンペーンです。
ここでの RAT は Remote Access Trojan の略で、簡単に言うと 攻撃者が遠隔から端末を操作できるマルウェア です。画面のぞき見、キーロギング(キー入力の記録)、ファイル窃取、コマンド実行など、やりたい放題になりやすいタイプですね。
今回のポイントは、攻撃の入口が“怪しい添付ファイル”ではなく、Obsidian の共有 vault とプラグイン機能だったことです。
Obsidian はローカルで動くノートアプリですが、Markdownベースで資料管理しやすく、セキュリティや研究用途でも人気があります。そこを狙うのは、正直かなりうまい。便利さと引き換えに、信頼を乗っ取りやすいからです。
今回の攻撃は、いわゆる ソーシャルエンジニアリング(人の心理をだまして操作させる攻撃)が軸です。
攻撃者は、ベンチャーキャピタリストのような顔をしてターゲットに接触します。
いきなり怪しいことは言わず、まずは それっぽい肩書きで信用を作る のがミソです。LinkedIn はビジネス用SNSなので、こういう“それらしさ”に引っかかりやすいのが怖いところ。
会話は Telegram のプライベートグループに移されます。
ここで外部の監視や違和感を避けつつ、よりカジュアルに話を進めるわけです。こういう「場を移す」手口は、詐欺でも攻撃でもよく見ます。個人的には、ここがかなり嫌らしいと思います。
次に、共有された Obsidian vault へ招待されます。
vault は Obsidian の中でノートや設定をまとめる“保管庫”のようなもの。普通に使えば便利ですが、今回はここに罠が仕込まれていました。
感染の決め手は、コミュニティプラグインの同期を有効化することです。
ユーザーは「便利そうだから」「共有のために必要そうだから」と思って許可してしまうかもしれません。でも、その裏で 悪意あるプラグイン版の “Shell Commands” と “Hider” が動くようになり、攻撃が始まります。
ここ、かなり巧妙です。
多くの人は「自分でOKを押したなら安全寄りでは?」と思いがちですが、実際は “正規の操作を悪用する” のが現代の攻撃の怖さです。防御側からすると、単純な検知をすり抜けやすい。
記事では、Windows と macOS の両方を狙っているとされています。クロスプラットフォーム対応というだけでも面倒なのに、攻撃チェーンがOSごとに少しずつ変わるのがまた厄介です。
PowerShell は Windows 管理でよく使われる正規ツールですが、攻撃者にとっても非常に便利な武器です。
「正規の道具で攻撃する」ので、見た目の不自然さが薄いんですよね。
つまり、OSが違っても、やっていることの本質は同じです。
“ユーザーに何かを有効化させ、その流れでスクリプトを走らせる” という設計になっています。
PHANTOMPULL は最終段階のマルウェアを直接メモリに展開します。
これはファイルとして残りにくくする手口で、ファイルベースの検知を避けやすいのが特徴です。
こういう「痕跡を薄くする」考え方は、最近のマルウェアではかなり重要なテーマだと思います。
今回、個人的にいちばん面白いと思ったのがここです。
PHANTOMPULSE は C2(Command and Control)、つまり攻撃者がマルウェアに命令を出すためのサーバー情報を、Ethereum blockchain から取得します。
どういうことかというと、
これがなぜ厄介かというと、ブロックチェーンは分散型で、止めにくいからです。
普通のC2サーバーなら、サーバーを落としたり、ドメインを停止したりすれば一定の効果があります。でも blockchain を参照する形だと、インフラの追跡や遮断がかなり面倒になります。
「そこまでやるのか」と思う反面、攻撃者の工夫としてはかなり筋がいいです。ほんとうに面倒くさい発想だと思います。
PHANTOMPULSE が動くと、以下のようなことが可能になります。
金融や crypto の人たちにとっては、これはかなり致命的です。
企業の機密情報だけでなく、ウォレットキー や 取引所アカウントの認証情報 が取られれば、被害は一気に大きくなります。
特に crypto は、一度資産が移されると取り戻しにくいので、攻撃者から見ると“うまみ”が大きい標的です。残念ながら、狙われる理由ははっきりしています。
記事では、防御のための観測ポイントも挙げられています。
powershell.exe、cmd.exe、osascript などを子プロセスとして起動するpowershell -ExecutionPolicy Bypass のような怪しいコマンドライン[Vault]/.obsidian/plugins/ 配下の不審なファイル作成・変更ここで大事なのは、Obsidian がスクリプト実行の起点になっている点です。
普通、ノートアプリが PowerShell を呼ぶのはかなり不自然です。なので、EDR(Endpoint Detection and Response、端末監視・対応ツール)でこうした連鎖を見つけるのが有効です。
記事が挙げている対策は、わりと王道ですが、そのぶん重要です。
第三者製プラグインは便利ですが、権限や挙動を確認せずに入れるのは危険です。
特に Obsidian のように拡張性が高いアプリは、攻撃者にとって“入口”にしやすい。
公式で信頼できる配布元だけ使う、これは本当に基本です。
見知らぬ相手から送られた共有 vault は、まず疑うべきです。
「コラボだから必要」と言われても、プラグイン同期は要注意。
便利機能ほど危ない、というのは皮肉ですが、現実です。
管理者権限でアプリを動かさない。
これは地味ですが、被害を小さくするのに効きます。
万一侵害されても、できることを減らせるからです。
スクリプト実行、プロセス注入、メモリ上の実行など、今どきの攻撃に対応できるようにしておく必要があります。
“入れて終わり”ではなく、ちゃんと検知ルールを持っているか が大事です。
これは結局かなり強い対策です。
LinkedIn や Telegram 経由の不審な接触、急な共同作業提案、見知らぬ vault への誘導。
このあたりを見抜けるかどうかで、かなり差が出ると思います。
個人的には、この攻撃は「マルウェアが高度」というだけではなく、**“信頼されるツールを攻撃の踏み台にしている”** のが重要だと思います。
Obsidian は開発者や研究者、知識労働者に人気のあるツールです。つまり、攻撃者はただのアプリではなく、そのアプリに対する安心感そのものを狙っているわけです。
しかも、
と、複数の手法を組み合わせています。
一つひとつは目新しいわけではないのに、組み合わせると一気に厄介になる。この“合わせ技”こそ、現代の攻撃らしさだなと思います。
Obsidian を使った今回の攻撃は、単なるマルウェア配布ではなく、人間の信頼・便利機能・正規ツールをまとめて悪用した、かなり洗練された事例です。
特に金融・crypto 分野の人は、アカウント情報やウォレット鍵が狙われると被害が大きいので、日常的に使うツールほど警戒が必要です。
「知らない相手の共有 vault は開かない」「プラグインは慎重に」「怪しい会話は途中で止める」。
結局こういう地味な習慣がいちばん効く、というのがちょっと悔しいけれど、現実だと思います。
参考: Obsidian Plugin Abused in Social Engineering Campaign to Deliver New PHANTOMPULSE RAT