2026年3月、Microsoftは、SEOポイズニングを利用して偽の企業向けVPNクライアントを配布したStorm-2561キャンペーンを公開しました。攻撃者は、Fortinet、Ivanti、Cisco、Sophos、SonicWallなど、実在するセキュリティ企業のVPN製品を装ったドメインを検索結果の上位に表示させました。ユーザーが該当サイトからVPNインストールファイルをダウンロードして実行すると、正規のVPNクライアントに似た画面が表示されましたが、実際にはVPN認証情報とシステムに保存された接続設定が窃取されました。
Microsoftが公開した侵害指標には、不正ファイルのハッシュに加え、初期アクセスおよび不正ファイルの配布に使用された多数の偽装ドメインが含まれていました。これらの一部を2026年6月にCriminal IPドメイン検索で再確認した結果、過去にVPN製品を装っていた5つのドメインが、すべて同一のTelegramユーザー検索サービスへ変更されている状況が確認されました。
これは、攻撃キャンペーンに使用されたドメインが、キャンペーンの終了後も消滅せず、新たなコンテンツやインフラストラクチャーへ移行する可能性があることを示しています。本記事では、Storm-2561の攻撃フローを簡潔に整理し、Microsoftが公開したドメインの現在の状態と共通するインフラストラクチャーの特徴を、Criminal IPドメイン検索を通じて分析します。
SEOポイズニングで偽VPNを配布したStorm-2561
Storm-2561は、Microsoftが追跡しているサイバー犯罪系の脅威アクターです。Microsoftによると、このグループは2025年5月以降、SEOポイズニングと著名なソフトウェアブランドの偽装を利用してマルウェアを配布してきました。SEOポイズニングとは、攻撃者が特定の検索キーワードにおいて、不正なWebサイトが検索結果の上位に表示されるよう操作する手法です。メールやメッセージを通じてリンクを直接送信する一般的なフィッシングとは異なり、ユーザー自身に検索結果をクリックさせる点が特徴です。
Storm-2561は、以下のような企業向けVPN製品を偽装しました。
- FortiClientおよびFortinet VPN
- Ivanti VPNおよびPulse Secure
- Cisco Secure Client
- Sophos Connect
- SonicWall NetExtender
- Check Point VPN
- WatchGuard VPN
偽装ドメインには実際の製品名が含まれており、.de、 .fr、 .it、 .nl、 .no、 .ca、 .co.ukなど、国別コードトップレベルドメインも使用されました。これは、ユーザーが自国市場向けに提供されている正規のダウンロードサイトであると誤認するよう設計されたものと考えられます。
偽VPNのインストールを通じた認証情報窃取の流れ
Storm-2561の攻撃は、以下のような順序で進行しました。
- 攻撃者による、VPNクライアント関連の検索キーワードへの偽装サイトの露出
- 正規のVPNダウンロードページを装ったサイトへのユーザーのアクセス
- GitHubに登録された不正ファイル
VPN-CLIENT.zipの配布 - MSIインストールファイルの実行に伴う不正DLLのインストール
- 偽VPN画面に入力されたアカウント情報および既存VPN設定の収集
- 窃取した情報の、攻撃者が管理するC2インフラストラクチャーへの送信
- インストール失敗画面または正規VPNサイトの表示によるユーザーの疑念の軽減
Microsoftは、vpn-fortinet[.]comと ivanti-vpn[.]orgにおいて、GitHub上の不正ファイルへ誘導するダウンロードリンクが確認されたと説明しています。不正なインストールファイルは、Pulse.exe、 dwmpi.dll、 inspector.dllなどのファイルを生成しました。このうちinspector.dllは、Hyraxインフォスティーラーの亜種であり、ユーザーが入力したVPN認証情報だけでなく、Pulse Secureの接続情報保存ファイルにもアクセスし、VPN URIや既存の設定データを収集しました。VPN認証情報が窃取された場合、攻撃者は外部から企業の内部ネットワークへのアクセスを試みる可能性があります。特に、MFA、デバイス認証、条件付きアクセスポリシーが十分に適用されていない環境では、アカウント侵害が実際の内部侵入につながる可能性が高まります。
Microsoftが公開したStorm-2561関連ドメイン
Microsoftは、Storm-2561キャンペーンに関連する17件の初期アクセス疑いドメインと、2件のC2ドメインを公開しました。初期アクセスドメインには、Fortinet、Ivanti、Cisco、Sophos、SonicWallなど、実在するVPNベンダーや製品名を直接含む形式が使用されていました。

このうち、vpn-fortinet[.]comとivanti-vpn[.]orgは、GitHubに保存された不正なZIPファイルを配布した初期アクセスドメインとして分類されました。窃取した認証情報を送信するC2ドメインとしては、vpn-connection[.]proとmyconnection[.]proが公開されています。
Microsoftが公開したドメインは、当時の攻撃インフラストラクチャーを示すIOCです。しかし、ドメインに紐づくIPアドレス、ホスティングサーバー、証明書、Webコンテンツは変更される可能性があるため、公開当時の状態が継続しているとは限りません。
そこで、Microsoftが公開した初期アクセス疑いドメインの一部をCriminal IPドメイン検索で再度調査し、現在の状態を確認しました。
Criminal IPドメイン検索で再確認した現在の状態
Microsoftが公開したStorm-2561関連の初期アクセス疑いドメインのうち、以下の5件をCriminal IPドメイン検索で再確認しました。
- forticlient-for-mac[.]com
- forticlient-vpn[.]fr
- forticlient[.]ca
- forticlient[.]no
- sonicwall-netextender[.]nl

2026年6月26日時点の調査結果では、5つのドメインすべてが、現在「UserToPhone – Telegram Username Lookup」という同一タイトルのWebページへ接続されていました。つまり、過去にVPN製品を偽装していたと公開された一部のドメインが、現在はすべて同一のTelegramユーザー検索コンテンツへ変更されています。ただし、この結果だけで現在の運営主体がすべて同一であることや、Storm-2561が現在もこれらのドメインを直接管理していることを断定することはできません。一方、Criminal IPドメイン検索の結果からは、これらのドメインが現在、少なくとも2つのインフラストラクチャーグループに分類できることが確認されました。
1) 同一のJARMハッシュと登録特性を共有する2つのドメイン

forticlient-for-mac[.]comとforticlient-vpn[.]frでは、同一の「UserToPhone – Telegram Username Lookup」というページタイトルと、類似した画面構成が確認されました。また、Criminal IPドメイン検索では同一のJARMハッシュが確認されており、両ドメインが類似したTLSサーバー構成を使用していることが分かりました。ドメイン登録情報においても、両方ともDynadotをレジストラとして使用しており、それぞれ2025年10月と12月に作成された比較的新しいドメインでした。使用技術についても、HTTP/3、Google Ads、広告コンバージョントラッキング、Google Analyticsなど、類似した構成が確認されました。
また、両ドメインは現在同一のコンテンツを提供していますが、レピュテーションの状態は同一ではありませんでした。forticlient-vpn[.]frはGoogle Safe Browsingで「Blocked」と表示された一方、forticlient-for-mac[.]comはブロックされていない状態でした。これは、現在同一または類似したコンテンツを提供している場合でも、過去の検知履歴やレピュテーション情報は、ドメインごとに異なる状態で残る可能性があることを示しています。
2) Flask・Pythonベースと確認された3つのドメイン

forticlient[.]ca、 forticlient[.]no、 sonicwall-netextender[.]nlも、同一のUserToPhone – Telegram Username Lookupページへ接続されました。この3つのドメインでは、ドメイン検索の結果から同一のJARMハッシュが確認され、使用技術としてFlaskとPythonが共通して検知されました。
特に、3つのドメインはいずれも144.172.116.XXXへマッピングされており、先述したCloudflareグループとは異なる方式で構成された共通インフラストラクチャーを使用しているとみられます。Google Tag Manager、Google Ads、Google Analyticsなどの付加的な技術も類似しており、少なくとも現在は、同一のサービス運用環境または非常に類似したデプロイ構造を共有している可能性があります。
ただし、Google Safe Browsingの結果は完全には一致していませんでした。forticlient[.]caとforticlient[.]noはブロックされていない一方、sonicwall-netextender[.]nlは「Blocked」と表示されました。つまり、同一のマッピングIPと類似した技術スタックを共有している場合でも、ドメインごとのレピュテーション状態は異なる可能性があります。
共通のマッピングIPをIT資産検索で追加確認

3つのドメインに共通して確認された144.172.116.XXXを、Criminal IP IT資産検索で追加分析しました。その結果、このIPアドレスは米国に位置するLinuxベースのホストとして識別され、HTTPおよびHTTPSのWebサービスが確認されました。画面上では、Apache/2.4.52(Ubuntu)系のサービスが外部に公開されており、複数の脆弱性情報も表示されていました。
特に、このIPアドレスはインバウンドリスク99.0%、アウトバウンドリスク60.0%と表示され、比較的高いリスクを持つ資産として評価されていました。つまり、単に「同じWebページが表示される」というレベルにとどまらず、現在これらのドメインが接続しているインフラストラクチャー自体についても、追加の点検が必要な状態と考えられます。
この結果は、forticlient[.]ca、 forticlient[.]no、 sonicwall-netextender[.]nlが、類似したコンテンツを共有しているだけでなく、実際に同一のWebインフラストラクチャーまたは共通のホスティング環境へ接続されている可能性を裏付けています。これだけで同一の運営者であると断定することはできませんが、ドメイン検索で確認した共通のJARMハッシュ、技術スタック、マッピングIPをIT資産検索でさらに分析した結果、インフラストラクチャー上の関連性をより明確に確認できました。
また、ドメイン検索で確認したマッピングIPを、そのままIT資産検索で継続して分析できる点も重要です。ドメインの現在のWebコンテンツを確認するだけでなく、そのドメインが実際にどのようなサーバー環境やサービスへ接続されているのか、どのようなリスクや脆弱性が存在するのかを、連続的に確認できるためです。
対応方法
Storm-2561のような偽VPN配布攻撃に対応するには、以下の項目を優先的に適用する必要があります。
- VPNクライアントを、社内ポータルまたは正規ベンダーの公式経路を通じてのみ配布
- 検索結果に表示されたダウンロードサイトを、正規サイトであると安易に判断しない運用の徹底
- コード署名だけでファイルを信頼せず、署名者、ハッシュ、配布経路をあわせて検証
- VPNアカウントへのMFAおよびデバイス認証の適用
- 不審なMSIファイルの実行、DLLサイドローディング、VPN設定ファイルへのアクセスをEDRで監視
- 不審なファイルを実行したユーザーのVPNパスワード変更および有効なセッションの即時無効化
- 過去のドメインIOCについても、ドメイン検索とIT資産検索を通じて現在の状態を定期的に再確認
FAQ
Q1. 現在同一のWebページが確認されたことは、Storm-2561が引き続き該当ドメインを運営していることを意味しますか?
そのように断定することはできません。今回の分析では、Microsoftが公開した初期アクセス疑いドメイン5件が、現在同一のTelegramユーザー検索コンテンツを提供していることを確認しました。
Q2. 同一のJARMハッシュとマッピングIPが確認された場合、同じ運営者が管理していることを意味しますか?
同一のJARMハッシュ、マッピングIP、技術構成があわせて確認された場合、共通のインフラストラクチャーを使用している可能性は高まります。ただし、共有ホスティング、リバースプロキシ、または同一のサービスプロバイダーを利用する別々のドメインである可能性もあるため、これだけで同一の運営者であると断定することはできません。DNS履歴、証明書、WHOIS情報、Webリソースをあわせて比較する必要があります。
Q3. 過去に不正利用されたドメインが現在別のコンテンツを提供している場合、ブロックを解除してもよいですか?
現在不正なコンテンツが確認されないという理由だけで、直ちにブロックを解除することは推奨されません。ドメインが再び不正なコンテンツへ切り替わったり、別の攻撃に再利用されたりする可能性があるためです。過去の不正利用履歴、現在の接続IP、Webコンテンツ、証明書、レピュテーションの状態をあわせて確認したうえで、組織のリスクポリシーに基づき、ブロックを維持するかどうかを判断する必要があります。
結論
Storm-2561は、検索エンジンに対するユーザーの信頼と、企業向けVPNブランドに対する信頼性を同時に悪用しました。攻撃者は、VPNソフトウェアを探しているユーザーを偽のダウンロードページへ誘導し、正規プログラムのように見える署名付きインストールファイルを実行させました。その後、偽のログイン画面と不正DLLを通じて、VPN認証情報と設定データを窃取しました。
Microsoftが公開したドメインのうち、Criminal IPドメイン検索で再確認した5つのドメインは、2026年6月時点ですべて同一のTelegramユーザー検索コンテンツを提供していました。一部のドメインは、同一のJARMハッシュと技術構成を共有していましたが、すべてのドメインが単一のインフラストラクチャーまたは同一の運営者によって管理されていると断定できる情報は限られています。現在の観測結果は、攻撃者によるドメインの再利用、所有権の変更、ドメインパーキング、共通コンテンツプラットフォームへの接続など、複数の可能性を示す調査上の手掛かりとして解釈する必要があります。
今回の事例は、IOCが一度公開された後も固定された情報ではないことを示しています。攻撃キャンペーンが終了した後も、ドメインは削除されず、別のコンテンツやインフラストラクチャーへ移行する可能性があります。そのため、セキュリティ担当者は、過去の侵害指標を単なるブロックリストとして管理するのではなく、現在の状態と変更履歴を継続的に追跡する必要があります。
Criminal IPドメイン検索を利用すると、ドメインの現在のページ、接続IP、使用技術、TLS情報、証明書、外部リソース、検知状態をあわせて確認できます。これにより、過去のキャンペーンに使用されたドメインが、その後どのようなインフラストラクチャーへ移動し、どのような目的で再利用されているのかを追跡できます。
なお、関連して、FIFAを装ったフィッシングキャンペーン分析: 2026年ワールドカップ関連の疑わしい ドメインおよびインフラの追跡の記事も参考にできます。
Criminal IP(criminalip.io/ja/register )に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), Microsoft(https://www.microsoft.com/en-us/security/blog/2026/03/12/storm-2561-uses-seo-poisoning-to-distribute-fake-vpn-clients-for-credential-theft/)
