Canis C2：日本のユーザー狙うクロスプラットフォーム型監視システム

Canis C2：日本のユーザー狙うクロスプラットフォーム型監視システム

Hunt[.]io – Apr 8, 2026

日本のユーザーを標的とするこれまで文書化されていなかった監視システム「Canis C2」について、脅威ハンティング企業のHuntが報告。Android、iOS、Windows、Linux、macOSに対応するクロスプラットフォーム型の同システムには、日本語に精通したアクターが関与している可能性が高いという。

攻撃者が犯したOPSECのミスからフレームワーク全体が露に

3月19日、後払い決済サービス「Paidy」に見せかけた日本語のフィッシングページに関連する不審なAndroid APKについて、ある研究者がXで投稿。Hunt社の研究者らがこのポストをきっかけに背後のインフラを調査したところ、認証不要のAPIが無防備な状態で公開されているのが見つかった。エンドポイントからはペイロードやコマンドログ、さらにはC2のソースコードそのものが漏洩していたため、研究者らはさらなる分析を行うことに成功したという。

複数あるペイロードのうち、Huntは「2025/12〜2026/2/10合計支払明細書」と名付けられた16番目のペイロードに着目。このペイロードのコードから、Canis C2サーバーを発見したとされる。同C2サーバーは、Android、iOS、Windows、Linux、macOSの各OSを標的にするエージェントを備えたクロスプラットフォーム型の監視システムと説明されている。

日本語のフィッシングページで悪性アプリを配布

攻撃チェーンはまず、何らかの手段でターゲットユーザーをフィッシングページに誘導するところからスタート。その一例として紹介されているのがPaidyを装ったページで、このWebページには、Paidyを装った2026年3月31日を支払い期限とする請求画面が表示されており、請求金額の下部に「明細の詳細はセキュリティ認証が必要です」「アプリをインストールし、権限を許可してください」との記載がある。

明細を確認するために必要とされる「セキュリティ認証」のプロセスにおいて、ターゲットとなるユーザーは「Device Shield」というアプリをインストールさせられることに。このアプリはセキュリティツールを装っているものの、実際にはカメラや位置情報など複数の権限を要求し、Canis C2と通信するクライアントとして機能している可能性が示唆されている。Device Shieldがインストールされると、感染したデバイスはC2に接続され、以降はペイロードの配布やコマンド実行などが可能になり、攻撃者が感染端末を継続的に制御・監視できる状態が構築されるものとみられる。

コマンドは20種類以上確認されており、その多くが認証情報の窃取や契約書・SMSの読み取り、ファイルのリストアップといった一般的なモバイルマルウェアを彷彿とさせるものだとされる。一方で、「このシステムの特徴は、単一目的の攻撃ではなく、持続的（永続的）なアクセス、監視、そしてシステム情報や認証情報の広範な収集を目的として設計されている点にある」とHuntは指摘している。

日本語に詳しいアクターが関与している可能性

Huntはまた、「CANIS C2 超高度端末識別」と名付けられたCanis C2の管理者インターフェースも分析。ここには、登録された被害者がID、OSおよびバージョン、モデル、IPアドレスなどに基づいて一覧表示され、ページ上部には、登録済みデバイスの総数、収集されたフィンガープリント、受信したハートビート、および過去1時間以内にアクティブだったデバイスの数が表示される。HuntはC2コードやダッシュボードの大部分が日本語で記述されていることを確認しており、作成者が日本人であるか、あるいは日本語に精通している可能性が高いことが示唆されていると指摘した。

さらに、ダッシュボードのソースコードに加えて、Canisには被害者向けのHTMLページも含まれることがわかっている。このページは「International Dog Photo Awards 2026」として表示され、ユーザーが写真をアップロードできるようになっているという。しかし、被害者がこのページを読み込むと、埋め込まれたJavaScriptのフィンガープリンティング用ペイロードがブラウザ上で実行される。つまり、被害者が写真をアップロードしていると認識している背後で、実際には複雑なフィンガープリンティング処理が実行される仕組みになっている。

iOSターゲティング

Huntはまた、iOSデバイスを対象とした高度なターゲティングにも注目している。Canis C2のペイロード15のコードの中には、対象デバイスに対して7種類のマルウェア配布手法の実現可能性を評価する「バリデータ」が存在。その中でも、iMessageを起点としたゼロクリック攻撃の実行可否を事前に評価するバリデータは最も技術的な重要性が高いとされる。

このバリデータは、iOSにおけるセキュリティ機構「BlastDoor」、「Media pipeline isolation」、「ImageIO sandbox」を事前にチェックし、それぞれを攻撃成功の阻害要因として評価。これらはいずれも、カスペルスキーが報告したスパイウェアキャンペーン「Operation Triangulation」においても回避対象となっていた防御機構であり、Canis C2の本コードが同様の攻撃前提を持つ可能性を示唆しているとされる。

Huntはこの調査結果を踏まえ、LLMの支援を受けている可能性もあるにせよ、iOSのエクスプロイトに精通した強い意思を持つ攻撃者の関与が示唆されると評価。また、新たなゼロデイ脆弱性が存在しない限り、Canisは2021年にNSO GroupがPegasusスパイウェアによる攻撃で使用したエクスプロイト「ForcedEntry」の何らかの変種を利用している可能性があると考えられる、とも指摘した。

Huntのブログ記事では、Canis C2のさらなる詳細な解説やMITRE ATT&CKのマッピングリスト、IoCなどが提供されている。なお、Huntが調査を開始した後、3月21日にはAPIが適切に保護されるようになり、新たなフィッシングドメインが確認されるなどC2は引き続きアクティブな模様。同社はこのインフラのモニタリングを続け、新たな動きがあれば情報を更新すると述べている。