2026年5月26日、セキュリティ分野の総合企業「Fortinet(フォーティネット)」の脅威情報研究部門「FortiGuard Labs」が、偽の発注書(Purchase Order)を装ったフィッシングメールを起点とする攻撃キャンペーンについて報告。
このキャンペーンでは、「PureLogs」と呼ばれる情報窃取型マルウェアの新たな亜種が使用されており、被害者のWindows環境からさまざまな情報を収集する手口が確認されている。
PureLogsは、PureCoderと呼ばれる開発者が提供する「Malware-as-a-Service(MaaS:マルウェアをサービスとして提供する仕組み)」の一種で、攻撃者はこのサービスを利用することで自らマルウェアを開発しなくても情報窃取攻撃を実施できるというもの。
攻撃はまず「発注書を確認してください」といった内容の偽メールから始まる。
メールにはRAR形式の圧縮ファイルが添付されており、その中には解析されにくいよう加工されたJavaScriptファイルが含まれているとのことで、利用者がこのファイルを実行するとPowerShellが起動。
その後、複数の復号処理を経て追加の不正プログラムを読み込むという。
さらに攻撃者は、Windowsに標準搭載されている正規プログラムを悪用する。
これは「プロセスホローイング」と呼ばれる手法で、正規プログラムの内部に不正コードを注入して動作させて、セキュリティ対策ソフトによる検知を回避しやすくする効果がある。
その後、追加の不正プログラムが攻撃者の管理するサーバーと通信し、PureLogsをメモリ上で実行するとされている。
この方式は「ファイルレス型」と呼ばれ、ディスク上に実行ファイルを残さないため検知が難しいという特徴がある。
PureLogsは、パソコンの基本情報に加え、ChromeやEdge、Firefoxなどのブラウザに保存されたログイン情報やCookie、ログイン状態を維持するための認証情報、Discordの認証データ、暗号資産ウォレット関連ファイル、Outlook、FileZillaなどのアカウント情報を不正に収集するという。
収集したデータは圧縮・暗号化された後、インターネット経由で攻撃者のサーバーへ送信され、必要に応じて後から追加機能を取得できる仕組みも備えているとみられている。
2026年6月18日時点で、この攻撃キャンペーンに関する大きな新展開は確認されていないが、FortiGuard Labsからは以下の対策を検討することが推奨されている。
1.メール添付ファイル、特にRAR形式やJavaScriptファイルの扱いに注意し、不審な「発注書」関連メールは開かずに削除する。
2.PowerShellの実行制限を強化し、プロセス異常(MsBuild.exeの不自然な動作など)を監視する。
3.OSやソフトウェアを常に最新版に更新し、信頼できるセキュリティ製品を導入する。
従業員向けのフィッシング教育を定期的に実施する。
【参考】
https://www.fortinet.com/blog/threat-research/phishing-campaign-deploys-javascript-driven-purelogs-variant-to-steal-sensitive-data
https://www.infosecurity-magazine.com/news/purelogs-phishing-purchase-order/