履歴書装ったBlackSantaマルウェアが人事担当者を狙う

yab

2026.03.12

履歴書装ったBlackSantaマルウェアが人事担当者を狙う

HackRead – March 11, 2026

3月11日にセキュリティ企業Aryakaが公開したレポートでは、BlackSantaマルウェアキャンペーンと呼ばれる人事担当者を標的とするサイバー攻撃の急増が指摘された。攻撃者は、日々「見知らぬ人からの添付ファイルを開く」という行為を行なう人事採用担当者を狙い、履歴書を装ったマルウェアをダウンロードするよう仕向けている。

このキャンペーンはロシア語圏の脅威アクターが1年以上前から実行しているとみられ、人事担当者宛てに履歴書へのリンク（Dropboxなど）を添付した一見無害なメールを送信し、リンク先でISOファイルをダウンロードさせている。ファイルを開くとLNKファイルが実行され、PowerShellコマンドが起動。人事担当者がPDFの読み込みを待っている間に、ステガノグラフィーの手法を用いて画像に隠されたペイロードがバックグラウンドで実行され、正規署名付きアプリを悪用して有害DLLがサイドロードされる。

攻撃では、アンチウイルスが即座にブロックするような不審なファイルではなく、正規署名付きアプリが使われているため検出が困難になっている。また、コンピューターのホスト名とロケールをスキャンし、セキュリティ研究者に監視されていないことを確認し、サンドボックス内にいると判断した場合には活動を停止する模様。

BlackSantaモジュールは「Bring Your Own Vulnerable Driver（BYOVD）」手法を使い、EDRキラーとして機能する。つまり、既知の脆弱性が存在する古い正規ソフトウェアを被害者のコンピューターにインストールさせることで、攻撃者はOSのカーネルへのアクセスを実現し、最終的にはシステムの完全な乗っ取りを行う。BlackSantaはアラートをトリガーすることなくMicrosoft Defenderなどのセキュリティツールを無効化できるため、攻撃者はシステム内で暗号資産ウォレットや機密性の高い従業員データを探すことが可能になるそう。