※ 本ブログは、2026年3月3日にHP WOLF SECURITY BLOGにポストされた HP Wolf Security Threat Insights Report: March 2026 の日本語訳です。

HP Wolf Security 脅威インサイトレポートの2026年3月版へようこそ。四半期ごとに我々のセキュリティエキスパートが、 HP Wolf Securityで特定された注目すべきマルウェアキャンペーン、トレンド、テクニックを紹介します。検知ツールを回避してエンドポイントに到達した脅威を隔離することで、HP Wolf Securityは、サイバー犯罪者が使用している最新のテクニックを把握し、セキュリティチームに新たな脅威と戦うための知識を与え、セキュリティ体制を向上させます。[1]

本レポートでは、2025年第4四半期に実際に発生した脅威について解説します。

多くの脅威アクターは、マルウェアキャンペーンをレゴブロックのように組み立てています。個々のコンポーネントはハッキングフォーラムで購入可能で、ペイロードURLの変更や異なるバイナリの差し替えなど、わずかな調整を加えるだけで使用できます。こうしたブロック状の要素は低コストであり、攻撃者が機能するキャンペーンを構築するために必要な労力を大幅に削減します。

2025年第4四半期には、このような手法で構築されたマルウェアキャンペーンが数多く確認されました。攻撃者は、初期感染ファイルの種類、ソーシャルエンジニアリングの手法、最終的なペイロードを変化させながらも、エンドポイントへのマルウェアインストールには同じ中間ステージを利用していました。特に繰り返し見られた手法として、archive.orgから画像をダウンロードし、それを悪意のあるコードを隠蔽するために利用するパターン(T1027.003)[8]が挙げられます。

攻撃者は、難読化された悪意のあるスクリプトとSVGファイルを含むアーカイブをEメールで送信し、PCを感染させました。スクリプトはスキャン済みWordドキュメントとして表示され、二重ファイル拡張子のトリック(T1036.008)を用いて正当な.docファイルのように見せかけ、受信者が開くよう誘導しました。[9]

スクリプトは高度に難読化(T1027.013)され、静的マルウェアスキャナーによる検知を困難にし、人手による分析を遅延させます。[10] エンコードされたPowerShellコマンド(T1059.001)が解凍され、新規プロセスへ渡されます。[11] Windows Management Instrumentation

(T1047)を利用してPowerShellが起動され、Base64エンコードされたコマンドが実行されます。[12]

スクリプトはその後、カスタムユーザーエージェント(T1036.012)を設定し、archive.orgから画像をダウンロードします(T1105)。[13][14]ユーザーエージェントを変更することで、攻撃者は自身のトラフィックを通常のWeb活動に溶け込ませることができます。PowerShellのデフォルトユーザーエージェントは特徴的で、悪意のあるファイルのダウンロードに悪用されることが多いため、企業環境ではしばしば不正使用の疑いを持たれます。

archive.orgに画像をホスティングすることは、攻撃者にとって三つの利点があります。まず、自前のインフラを維持する必要がなくなるため、コスト削減につながります。次に、支払い情報やホスティング記録といった、活動と攻撃者を結びつける可能性のある情報を公開せずに済みます。さらに、archive.orgのような人気があり信頼性の高いドメインは、Webトラフィックフィルターによってブロックされる可能性が低いため、ダウンロードが成功する確率が高まります。

ダウンロードした画像をざっと確認しても、特に異常は見られません。詳細な検証を行うと、スクリプトが解凍時に使用する区切り文字でマークされたBase64エンコードされたコード(T1027.009)が埋め込まれていることが判明します。デコードされた内容は.NETバイナリであり、PowerShellはリフレクティブローディング(T1620)によりこれをロードできます。[15][16] この手法により、PowerShellはバイナリ内でエクスポートされた任意の関数を直接呼び出すことが可能となります。

その関数の一つである"VAI"は、攻撃者が制御するURLからペイロードを取得し、実行します。ローダーはパラメータを通じて有効化可能な複数の永続化オプションを提供しますが、今回のケースではいずれも使用されませんでした。マルウェアはテキストデータとして取得され、デコードされた後、RegAsmプロセス(T1055)にインジェクションされました。[17]

最終的なペイロードは、Telegramベースのリモートアクセス機能を備えたインフォスティーラーDarkCloudでした。[2] 運営者はTelegramのチャンネルを通じて感染PCにコマンドを送信し監視を行います。このマルウェアはブラウザの認証情報(T1555.003)とEメールデータ(T1114)を収集し、運営者に送信します。[18][19] DarkCloudはアンダーグラウンドフォーラムで購入可能です。

他のキャンペーンでは、最初のアーカイブファイルがSVG画像に置き換えられ、ラテンアメリカの組織を標的としていました。年初の段階では、偽装サイトは政府機関を装うケースが多かったのに対し、第4四半期には地元の銀行を模倣する事例がより頻繁に見られました。

SVGを開くと、銀行をテーマにしたWebページが表示されます。ページ上のいずれかの箇所をクリックすると、リダイレクトがトリガーされ、アニメーションが開始されます。この一連の動作は、第3四半期に確認された活動と一致しており、画面上をローディングバーが移動し、ページがスクロールされ、一連の数字がハイライト表示され、バックグラウンドでアーカイブファイルがダウンロードされます。

ユーザーは表示されたパスワードでアーカイブを開くよう指示されます。アーカイブはSVG内に埋め込まれ暗号化されているため、Eメールスキャナーでは事実上、その中に含まれるマルウェアを解凍または検査することができません。[10]

アーカイブ内には、他のキャンペーンと同様のロジックに従ったスクリプトが含まれています。このSVGファイルの唯一の目的は、ユーザーにこのスクリプトを実行させるように欺くことです。

このスクリプトは感染チェーンの共通中間ステージを成すもので、同一の難読化手法と同一の動作シーケンスを採用しております。archive.orgのイメージとリフレクティブ.NETローダーはキャンペーンを通じて変更されませんでした。ペイロードURLとパラメータのみが異なっていました。

このケースでは、攻撃者はAsyncRATを使用してアクセスを維持し、認証情報を含む機密データを収集しました。[3] この攻撃キャンペーンは、攻撃者が広く入手可能なコンポーネントをいかに容易に組み合わせて完全な感染チェーンを構築できるかを示しています。これらのコンポーネントは、キャンペーンの構築と大規模展開に必要な労力を軽減し、攻撃者がソーシャルエンジニアリングの手法を洗練させ、特定の標的に合わせてルアーを最適化することに注力することを可能にします。

HP Wolf Securityが第4四半期にブロックしたPDFベースの脅威の多くは、最終的にユーザーを、認証情報やクレジットカード情報を収集するために作られたフィッシングページへ誘導するものでした。しかしながら、PDFは依然として信頼できるマルウェア配布手段としても機能し続けています。ほとんどのキャンペーンでは、マルウェアはPDFに埋め込まれていません。代わりに、ドキュメントはルアーとして機能し、ペイロードは外部サイトにホストされています。

攻撃者は単純なソーシャルエンジニアリング画像に依存しています。閲覧に制限のあるコンテンツを示唆するぼやけた「ドキュメントプレビュー」が表示されるPDFもあれば、「クリックして表示」を促す偽のエラーメッセージが表示され場合もあります。いずれの場合も、PDFには外部サイトへのハイパーリンクが含まれており、ユーザーが悪意のあるリンクをクリックすると(T1204.001)、次のステージ(T1105)がダウンロードされ実行に至ります。[20][21]

第二段階のダウンロード内容は多岐にわたり、大半の場合アーカイブファイルまたはスクリプトファイルとなります。今回分析した事例では、ダウンロードは侵害されたWebサイト上で開始され、その後被害者を正規サイト（本事例ではBooking.com）へリダイレクトしました。

このシーケンスにより、正規のサイトがダウンロードを開始したように見せかけ、ユーザーがファイルに対して抱く信頼を高めます。攻撃者はまた、実際の拡張子を隠すためにスペースで埋めた二重のファイル拡張子を使用し、ファイルがスクリプトではなくPDFドキュメントであるように見せかけました。[9]

ほとんどのマルウェア攻撃において、スクリプトファイルは感染プロセスの中間ステージとして機能します。このステージでは、攻撃者が制御するサーバーからマルウェアをダウンロードするか、次のステージのマルウェアを解凍してインストールします。感染チェーンが断たれないよう、検知を回避することが極めて重要です。

検知を回避するため、攻撃者は複数の難読化手法を用いています。悪意のあるコードに、一見正当なコードの断片や、何の役にも立たない署名コメントが埋め込まれているケースを頻繁に見かけます。また、多くの攻撃者は、容易に手に入る難読化ツールを使用して、コードの判別を困難にしています。

この事例では、最初のスクリプトはJavaScript (T1059.007)で、これによってPowerShellのステージングコードがダウンロード、デコード、実行されていました。[21][11] 高度に難読化されたJavaScriptとは異なり、PowerShellのステージングコードには難読化が施されておらず、詳細なコメントが多数含まれていました。実環境では、このように過剰なコメントが付けられた悪意のあるPowerShellコードが以前より多く見られるようになっています。

このPowerShellスクリプトには、XOR演算によって復号されるBase64エンコードされた長い文字列が含まれています。[10] このロジックについては、コード内のコメントに詳細が記載されています。

Base64文字列が復号されると、2つ目のPowerShellスクリプトが現れます。このスクリプトも構造が明確で、難読化は施されておらず、コメントが含まれています。コメントには、オペレーターが何を変更すべきかについての指示が記されています。例えば、フレームワークツールのターゲットパスを設定すべき箇所や、ペイロードを挿入すべき箇所が明記されています。

このコードは、カスタマイズが必要なツールとして購入されたか、生成AIの助けを借りて作成された可能性が高いと考えられます。AIを活用した開発はすでに一般的になっており、マルウェアを作成する攻撃者も、高度な技術的専門知識を必要とせずに、同じようなツールを使って単純な中間ステージを組み立てている可能性が高いでしょう。

このステージでは、PowerShellスクリプトは、デコードされた.NETバイナリを起動し、定義された関数を呼び出し、カスタマイズされた.NET Frameworkツールのターゲットパスとともに最終ペイロードを渡す役割を担っています。

この.NETローダーおよびドロッパーは多くのキャンペーンで使用されていることが確認されているため、攻撃者に販売されているツールキットの一部である可能性が高いと考えられます。このローダーは、正規の.NET Framework実行ファイルを起動し、転送されたペイロードを復号化して、新しいプロセスのメモリにインジェクションします。[17] これにより、結果として最終ペイロードが実行されます。

最終的に展開されたペイロードは、FormbookとXWorm でした。[4][5] これらはいずれも、ブラウザに保存された認証情報、Cookie、システム情報、その他のブラウザの詳細といった重要データ窃取が可能です。また、攻撃者が感染したシステムにリモートアクセスできるようにする機能も備えています。[18]

攻撃者はAIを活用したスクリプト作成など、正規のソフトウェア開発で見られる手法をますます取り入れているようです。テンプレート形式のスクリプトや詳細なコメントといった「バイブコーディング」の特徴を示す活動が増加しており、これらは攻撃者が作業を迅速化し、開発コストを削減することを可能にします。

マルウェア攻撃において、Officeドキュメントが使用される頻度は低下していますが、完全に消え去ったわけではありません。特にアジア太平洋地域では、依然として悪用した攻撃が見られます。これまでの多くの事例と同様に、これらのドキュメントは、未払いの請求書といったおなじみの手口を用いて、Eメールの添付ファイルとして送られてきます。

分析したデータセットに含まれる2つのキャンペーンでは、異なる初期ファイル形式（WordドキュメントとExcelスプレッドシート）が使用されましたが、どちらも同じ感染チェーンにつながりました。

いずれのファイル形式も、受信者に悪意のあるVisual Basic for Applications（VBA）マクロを有効にさせるよう誘導するソーシャルエンジニアリング画像を表示していました(T1059.005)。[22] 更新されたデフォルトのポリシーでは、信頼できないソースからのマクロがブロックされるようになり、これらの攻撃の成功率が低下しています。しかし、これらの設定を導入していない組織は、依然として脆弱な状態にあります。

マクロは最小限のものでした。それぞれがPowerShellスクリプトをダウンロードし、一時ディレクトリに書き込んだ後に実行していました。[11] このPowerShellスクリプトは、FormbookおよびXWormキャンペーンで使用されたスクリプトに見られる構造やコメントと一致しています。

者が従来のXORルーチンをRC4アルゴリズム実装に置き換えた点が挙げられます。コメントにより、Sボックスの初期化を含め、この構造が明確に示されており、これは有用な識別マーカーとなります。

関数が初期化されると、すぐにプリロードされた配列に適用されます。これにより、配列が復号化され、新しいPowerShellコードのシーケンスが生成されます。

このPowerShellコードは、XWormおよびFormbookのキャンペーンで見られた機能と一致しています。唯一の違いは、攻撃者が配信するペイロードです。ペイロードは、既知のマルウェアローダーによってデコードされ、正規の.NET Frameworkプロセスにインジェクションされます。[17]

WordおよびExcelのキャンペーンの双方で使用された最終マルウェアファミリーは、Agent Teslaでした。[7] このマルウェアは、設定済みのTelegramチャンネル（T1102）を通じて運営者と通信し、運営者が感染したシステムを制御できるようにします。[23]

Agent Teslaは、Eメールの連絡先情報を収集するように設定されていましたが、キーロガー機能とスクリーンキャプチャ機能は無効化されていました。[19] このマルウェアは、感染したデバイス内のEメール連絡先をスキャンし、コマンド＆コントロール（C2）チャネルを通じて運営者に送信します。これらの連絡先は、その後の感染拡大の試みにおいて新たな標的として利用される可能性があります。

年末の支払いに関するテーマは、依然として効果的なルアーとなっています。今回のキャンペーンでは、攻撃者は入金確認（Payment Confirmation）に見せかけたアーカイブファイルを送信しました。各アーカイブには、"Payment_Confirmation 900120251865 Remittance_ Copy_2025-12-19_pdf.js" のような二重拡張子を持つスクリプトが含まれており、PDFファイルのように見せかけるように仕組まれていました。[9] これを開くと、ドキュメントが表示される代わりにJavaScriptが実行されました。[21]

このスクリプトには、静的スキャナーを欺き、人手による分析を遅らせるために、大量のコメントが埋め込まれていました。実行されると、PowerShellスクリプトがコンパイルされ、アプリケーションディレクトリに保存されます。[11] その後、Evalコマンドを使用して、そのスクリプトを実行するPowerShellプロセスが起動されます。攻撃者はこの時、興味深いトリックを用いています。保存されたPowerShellスクリプトから、3文字の文字列が変数に読み込まれます。

この変数は実行されるため、コマンドが含まれている必要があります。3つの文字は"IEX"で、これはInvoke-Expressionコマンドのエイリアスで、指定された文字列をコードとして解釈し、実行します。

このPowerShellスクリプトは難読化が解除されており、多くのエンコードされたコマンドが含まれています。実行時にこれらを復号化するために、専用の内部関数が使用されています。[10] この関数は、エンコードされた文字列をコマンドに変換し、その後それらを実行します。

復号すると、シーケンスがより明確になります。このスクリプトはURLと特定のユーザーエージェントを指定し、そのURLからテキストファイルをダウンロードします。攻撃者はテキストファイルをGoogleドライブに保管し、ユーザーエージェントをWindows 10 のMozilla Firefoxを模倣するように設定しています。[23][13] これにより、Webゲートウェイのログのみに基づいてダウンロードを特定することが難しくなります。

このテキストファイルはBase64でエンコードされており、スクリプトによってデコードされ、その内容は追加のコードと共に別のPowerShellスクリプトに変換されます。[13] その後、このPowerShellコードは同じコンテキストで読み込まれ実行されます。コードには、定義済みの関数を用いて実行時にデコードされる、同様の文字列難読化手法が使用されています。

デコードされたPowerShellスクリプトは、 ShowWindow、VirtualAlloc、NtProtectVirtualMemory、 CallWindowProcAなど、いくつかのWindows API関数を呼び出しています。このことから、ダウンロードされたコンテンツがシェルコードである可能性がすでに示唆されています。スクリプトは、その後にこの可能性をさらに裏付けていきます。2つのメモリ領域が割り当てられ、ファイル内のコードがこれらの領域にコピーされます。

シェルコードはCallWindowProcAを通じて実行されます。これが機能するのは、この関数の最初の引数がコールバックへのポインタであるためです。Windowsはこのポインタの検証を行わないため、それが実際に有効なウィンドウプロシージャ関数を参照しているかどうかを確認しません。その結果、この呼び出しを通じてシェルコードを実行することが可能になります。

その後、シェルコードは別のステージを解凍し実行します。このステージでは、正規の Msiexec プロセス(T1218.007) を起動し、そこにマルウェアのコードを書き込んで実行します。[24][17] しかし、これもまだ最終ペイロードではありません。最終ペイロードは、 Google Driveからのその後のダウンロードを通じて取得され、その後解凍されて実行されます。このシーケンスは、インフォスティーラーPhantom Stealerによる感染で終了します。[25]

第4四半期に、MSIインストーラー、PEファイル、スクリプトファイルなどの悪意のある実行ファイルが、HP Sure Clickによって阻止された脅威ファイルのトップを占めました。これらのファイル形式はEメールではブロックされることが多いため、そのほとんどがWebからのダウンロードを通じて標的のデバイスに配信されました。これが、今回のキャンペーンにおける最初の感染経路となりました。

攻撃者は、訪問者にマルウェアをダウンロードさせるため、有名なソフトウェア製品を模倣したWebサイトを作成しました。被害者は検索エンジンを通じてこれらのサイトにアクセスしました。攻撃者は、自身のサイトを検索結果の上位に表示させるためにSEOポイズニング(T1608.006)を頻繁に利用し、さらにトラフィックを増やすためにマルウェア広告(T1583.008)も活用しています。[26][ 27]

模倣されたアプリケーションの一つに、Microsoft Teamsがありました。そのWebサイトは正規のバージョンと酷似しており、URLを見なければ攻撃者によって操られていることが分かりませんでした。ユーザーが“Download Microsoft Teams for Windows”をクリックすると、サイトはバックグラウンドでダウンロードリンクを生成しました。

このリンクを作成する際に、サイトは指定されたドメインに対してHTTP OPTIONSリクエストを送信し、そのドメインがまだ稼働していることを確認しました。サイトは、攻撃者がペイロードの配信先として複数のドメインを指定できるように設計されており、1つのドメインがオフラインになっても、他のドメインが代替として機能する仕組みになっています。

このケースでは、ドメインは1つしか定義されていませんでした。ドメインが有効な場合、サイトはContent-Encoding ヘッダーの値として"msteams"を使用するPOSTリクエストを発行します。これは、攻撃者が複数のソフトウェア製品になりすましており、同じペイロードドメインを使用して異なる偽のダウンロードを配布できることを示しています。

その後、ユーザーにはインストーラーのダウンロードが促されます。インストーラーを調査したところ、正規のMicrosoft Teamsインストーラーに加え、システム上に配置される複数の追加実行ファイルが含まれていることが判明しました。攻撃者はこの手法を用い、正規のMicrosoft Teamsアプリケーションとマルウェアを同時にインストールし、感染を隠蔽しようとします。期待通りのソフトウェアがインストールされるため、ユーザーが不審な点に気づく可能性は低くなります。

Microsoft Teamsのセットアップファイルに加え、インストーラーには"dwr.exe"という実行ファイルが含まれています。これは動画編集アプリケーションCapCutの正規のコンポーネントであり、デジタル署名されているため、起動時にセキュリティチェックの一部を回避することができます。また、インストーラーには"mpr.dll"という名前のDLLファイルも含まれており、これがマルウェアを格納しているファイルです。

ここ数ヶ月、攻撃者は信頼されたプロセス内で悪意のあるコードを実行するために、DLLサイドローディング(T1574.001)をますます多用するようになっています。[28] この手法では、正規のDLLを書き換え、悪意のあるコードを挿入します。実行ファイルがそのDLLを読み込むと、悪意のあるコードが自動的に実行されます。署名付きの実行ファイルと組み合わせることで、この手法はWindowsのセキュリティチェックを回避することを可能にします。

ユーザーがインストーラーを起動すると、Microsoft Teams がインストールされ、バックグラウンドでdwr.exe プロセスが開始されます。このプロセスは書き換えられた DLL を読み込み、その DLL が埋め込まれた悪意のあるコードを実行します。

その後、悪意のあるコードはPDFファイルを開きますが、これは本物のPDFではなく、マルウェアを格納したコンテナです。その中身が解凍され、実行されます。インストールされるマルウェアはOysterLoaderです。[6] このバックドアにより、攻撃者はデバイスを制御できるようになり、追加のマルウェアを展開することが可能になります。このマルウェアのファミリーは、ランサムウェアが展開される前に頻繁に見られます。

HP Wolf Security 脅威インサイトレポートは、ほとんどのお客様が脅威のテレメトリをHPと共有することを選択することによって実現されています。当社のセキュリティ専門家は、脅威の傾向や重要なマルウェアキャンペーンを分析し、洞察を注釈したアラートをお客様にフィードバックしています。

HP Wolf Security の導入を最大限に活用するために、お客様には以下のステップを踏むことをお勧めします。[a]

• HP Wolf Security ControllerでThreat Intelligence ServicesとThreat Forwardingを有効にし、MITRE ATT&CKのアノテーション、トリアージ、専門家による分析を受けることができるようにしてください。[b] 詳細については、ナレッジベースの記事をご覧ください。[29][30]
•  HP Wolf Security Controllerを最新の状態に保ち、新しいダッシュボードとレポートテンプレートを受け取ることができるようにしてください。最新のリリースノートとソフトウェアのダウンロードは、カスタマーポータルでご覧ください。[31]
• HP Wolf Securityのエンドポイントソフトウェアをアップデートし、当社の研究チームが追加した脅威アノテーションルールを常に最新に保ってください。

HP Threat Research チームは、セキュリティチームが脅威から身を守るために役立つ 侵害の痕跡 (IOC) やツールを定期的に公開しています。これらのリソースは、HP Threat Research GitHub リポジトリからアクセスできます。[32] 最新の脅威に関する調査については、HP WOLF SECURITY ブログ[33] にアクセスしてください。

企業は、ユーザーがEメールの添付ファイルを開いたり、Eメール内のハイパーリンクをクリックしたり、Webからファイルをダウンロードすることに対して最も脆弱です。HP Wolf Securityは、リスクの高いアクティビティをマイクロVMに隔離し、ホストコンピュータがマルウェアに感染したり、企業ネットワークに広がったりしないようにすることで企業を保護します。HP Wolf Securityは、イントロスペクションを使用して豊富なフォレンジックデータを収集し、お客様のネットワークが直面する脅威を理解し、インフラストラクチャを強化できるよう支援します。HP Wolf Security 脅威インサイトレポートは、当社の脅威研究チームが分析した注目すべきマルウェアキャンペーンを紹介し、お客様が新たな脅威を認識し、環境を保護するために行動を起こすことができるようにします。

HP Wolf Securityは、新しいタイプ[c] のエンドポイントセキュリティです。HPのハードウェアで強化されたセキュリティとエンドポイントに特化したセキュリティサービスのポートフォリオは、組織がPC、プリンター、そして人々をサイバー犯罪者から守るために設計されています。HP Wolf Security は、ハードウェアレベルからソフトウェアやサービスに至るまで、包括的なエンドポイントの保護とレジリエンスを提供します。

[1] https://hp.com/wolf

[2] https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcloud

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.asyncrat

[4] https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook

[5] https://malpedia.caad.fkie.fraunhofer.de/details/win.xworm

[6] https://malpedia.caad.fkie.fraunhofer.de/details/win.broomstick

[7] https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_tesla

[8] https://attack.mitre.org/techniques/T1027/003/

[9] https://attack.mitre.org/techniques/T1036/008/

[10] https://attack.mitre.org/techniques/T1027/013/

[11] https://attack.mitre.org/techniques/T1059/001/

[12] https://attack.mitre.org/techniques/T1047/

[13] https://attack.mitre.org/techniques/T1036/012/

[14] https://attack.mitre.org/techniques/T1105/

[15] https://attack.mitre.org/techniques/T1027/009/

[16] https://attack.mitre.org/techniques/T1620/

[17] https://attack.mitre.org/techniques/T1055/

[18] https://attack.mitre.org/techniques/T1555/003/

[19] https://attack.mitre.org/techniques/T1114/

[20] https://attack.mitre.org/techniques/T1204/001/

[21] https://attack.mitre.org/techniques/T1059/007/

[22] https://attack.mitre.org/techniques/T1059/005/

[23] https://attack.mitre.org/techniques/T1102/

[24] https://attack.mitre.org/techniques/T1218/007/

[25] https://malpedia.caad.fkie.fraunhofer.de/details/win.phantom_stealer

[26] https://attack.mitre.org/techniques/T1608/006/

[27] https://attack.mitre.org/techniques/T1583/008/

[28] https://attack.mitre.org/techniques/T1574/001/

[29] https://enterprisesecurity.hp.com/s/article/Threat-Forwarding

[30] https://enterprisesecurity.hp.com/s/article/HP-Threat-Intelligence

[31] https://enterprisesecurity.hp.com/s/

[32] https://github.com/hpthreatresearch/

[33] https://threatresearch.ext.hp.com/blog

a. HP Wolf Enterprise Securityはオプションサービスで、HP Sure Click EnterpriseやHP Sure Access Enterpriseなどが該当します。HP Sure Click Enterpriseは、Windows 10が必要で、Microsoft Internet Explorer、Google Chrome、ChromiumまたはFirefoxに対応しています。Microsoft OfficeまたはAdobe Acrobatがインストールされている場合、サポートされている文書には、Microsoft Office（Word、Excel、PowerPoint）およびPDFファイルが含まれます。HPSure Access Enterpriseには、Windows 10 ProまたはEnterpriseが必要です。HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件による影響を一切受けません。完全なシステム要件については、以下を参照ください。 www.hpdaas.com/requirements

b. HP Wolf Security Controllerは、HP Sure Click EnterpriseまたはHP Sure Access Enterpriseが必要です。HP Wolf Security Controllerは、デバイスやアプリケーションに関する重要なデータを提供する管理・分析プラットフォームで、スタンドアロンサービスとしては販売していません。HP Wolf Security Controllerは、厳格なGDPRプライバシー規制に従っており、情報セキュリティに関してISO27001、ISO27017、SOC2 Type2の認証を受けています。HPクラウドへの接続が可能なインターネットアクセスが必要です。完全なシステム要件については、以下を参照ください。www.hpdaas.com/requirements

c. HP SecurityはHP Wolf Securityになりました。セキュリティ機能はプラットフォームによって異なりますので、詳細は製品データシートをご覧ください。

HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件にによる影響を一切受けません。

 © Copyright 2022 HP Development Company, L.P. ここに記載されている情報は、予告なく変更されることがあります。HP の製品およびサービスに関する唯一の保証は、当該製品およびサービスに付随する明示的な保証書に記載されています。本書のいかなる内容も、追加的な保証を構成することは一切ありません。 HP は、本書に含まれる技術的または編集上の誤りや脱落について責任を負いません。

Author : HP WOLF SECURITY

監訳：日本HP