14件に1件が検知を「素通り」 マルウェア検出回避の巧妙すぎる手口とは

マルウェア攻撃の複雑性が127％増加したことを報告するレポートが発表された。従来型のマルウェアには検出の限界があり、サンドボックス解析が必要になるという。最新のマルウェア動向を紹介する。

[後藤大地，有限会社オングス]

　重要インフラの保護に強みを持つOPSWATは2025年8月27日、サイバーセキュリティの脅威動向を分析したレポート「2025 OPSWAT Threat Landscape Report」を発表した。同社が過去12カ月間に実施した約89万件のサンドボックススキャンを基にしたレポートだ。

14件に1件が検知を「素通り」　今すぐ見直すべき防御体制

　レポートによると、マルウェアの攻撃手法の複雑性は過去6カ月間で127％増加した。

時間のない読者のための解説

　OPSWATが主張するマルウェアの攻撃手法の複雑さとは主に次のような3つの動向を言う。

（1）多段階の実行チェーン

　マルウェアは、従来のセキュリティツールを欺くために設計された多段階の実行チェーンを持つようになった。単一のシンプルな手順ではなく、複数のステップを経て目的を達成する。

（2）高度な難読化

　攻撃者はマルウェアのコードを解読しにくくする高度な難読化手法を採用しており、「NetReactor」のような難読化されたローダーを使っているため、従来の解析ツールでは検出が困難になった。

（3）目的の変化

　最新のマルウェアは「大量に拡散する」ことよりも「混乱させる」こと、そして「検出を擦り抜ける」ことを目的として設計されている。つまり、ステルス性と適応性が重視されており、防御側もそれに合った対策が必要だ。

　マルウェアの攻撃手法が複雑化したことで、従来型のセキュリティシステムでは14件に1件の割合で実際には悪意のあるファイルを「安全」と誤認していた事実も明らかになった。従来の検出手法が追い付けていない現状を示す結果であり、攻撃の巧妙化に対し多層的な対策が必要だとレポートは強調する。

　同社の振る舞い検知技術による分析では難読化ローダーや検出回避機能を備えたマルウェアが多数確認された。従来の検出ツールでは識別が困難であり、意図的に混乱を与える設計が多く見られるという。サンドボックスによる解析は、公開されているOSINTフィード（インテリジェンス情報を自動的に配信する仕組み）では検知できなかったファイルの7.3％を悪意のあるものだと再分類した。この結果、平均して24時間早く検出できた。静的分析やレピュテーション依存型のシステムは検出遅延の問題を抱えていることになる。

　同社は89万件を超えるスキャンデータを基にキャンペーン単位での脅威相関分析も実施した。これにより、複数の攻撃キャンペーン間で共通する戦術・技術・手順（TTP）、再利用されるC2インフラや行動パターンの特定が可能となり、従来の断片的な指標では得られない実用的なインテリジェンスが提示された。

具体的な脅威の内容も明らかに

　レポートの中で注目されている具体的な脅威には、「ClickFix」によるクリップボード乗っ取り、画像に情報を隠蔽（いんぺい）するステガノグラフィーを利用したローダー、Googleサービスを悪用したC2チャネル、.NET Frameworkが内部で使用するNETビットマップ形式を利用したキーロガー配布などが含まれる。これらの事例は攻撃者がステルス性を高めるために正規の仕組みや無害に見えるデータ形式を悪用している現状を示した。

　OPSWATのジャン・ミラー氏（脅威分析部門のCTO）によれば同社の強みは精度と挙動分析の深さ、新しい攻撃を早期に発見する能力にあるという。同社のシステムはスクリプトや実行ファイル、ドキュメントを対象に99.97％の検知精度をうたっており、従来のアンチウイルスやEDRでは検出できない攻撃も可視化できたと主張する。

　今回の調査結果は重要インフラや政府機関、企業ネットワークへの攻撃がより複雑化しつつある状況を浮き彫りにしている。攻撃者は拡散よりも隠蔽を重視する傾向を強めており、防御側は従来の手法に依存せず、適応型で行動分析を基盤とした検知体制へ移行することが求められている。

　なお、今回のレポートは2025年8月に米ラスベガスで開催された「Black Hat USA 2025」で同社が公開した内容に基づく。