マルウェアの複雑さを定量化:89 万回以上のスキャンから得られた悪意の行動テレメトリとは?

Malware Complexity Jumps 127% in Six Months

2025/08/06 InfoSecurity — サイバー攻撃の標的に対して、脅威アクターが用いるツールセットが急速に進化しており、これまでの6ヶ月の間に、マルウェアの複雑性が 127% も増加したと、重要インフラに特化するサイバー・セキュリティ企業 OPSWAT が述べている。

2025年8月6日の Black Hat USA で公開された、第一版の Threat Landscape Report における同社の分析は、以下の3つの主要因の組み合わせにより、この大幅な増加が裏付けられるというものだ。

  • 多段階実行チェーン
  • 高度に難読化されたローダー (NetReactor など)
  • 従来のウイルス対策および EDR ソリューションを回避する行動
軽量スクリプトの組み合わせで検出を回避する攻撃チェーン

OPSWAT のレポートによると、脅威アクターたちが強化しているのは、軽量かつ難読化されたスクリプトを連鎖的に使用して、検出を逃れていく手法である。

今年に入ってから確認されたイニシャル・アクセス・ベクターは、”.lnk” ショートカットのような意表を突くファイル形式から、より伝統的なフィッシング文書にいたるまでの多岐にわたる。

スレに続くステップでは、Batch/PowerShell/VBS/JavaScript など複数のスクリプトを組み合わせが使用され、それぞれが次のステップを難読化し、多種多様な順序と深度で連鎖している。

OPSWAT のレポートには、「これらのスクリプト・チェーンは、シンプルさとモジュール性を重視して設計されているため、逆説的に検出が困難となっている。実行速度は速く、きわめて少ない痕跡が特徴となる。典型的なインシデントとしては、東ヨーロッパ全域で展開された、標的型のスパイ活動が挙げられる。そこでは、高度に難読化されたスクリプト・チェーンのサイレント・ランチャーとして、LNK ファイルが使用されていた」と記されている。

Snake Keylogger: example of an attack chain involving a stealthy .NET loader with a Bitmap payload. Source: OPSWAT

また、OPSWAT が確認しているものには、サイバー犯罪者および国家レベルの脅威アクターによる “ClickFix” 手法の増加もある。

規模よりもステルス性を重視する攻撃者

これまでの6ヶ月間で観察された傾向として挙げられるのは、攻撃の精度向上を重視する方向への戦略の転換である。具体的に言うと、攻撃量よりもステルス性および回避能力を優先する方向への明確な転換である。

脅威アクターたちは、無名の手法を悪用するが、その中には未知の回避手法を用いる積極的な悪用もあり、その対象は、初期侵入だけに留まらず、検出パイプライン全体の体系的な回避にも及んでいる。

代表的な戦術は以下のとおりである:

  • 不正ファイルの配信:解析ロジックを回避するように設計された、破損 Office ドキュメントなど。
  • 検出の盲点を狙った難読化:バッチ・スクリプトへの UTF-16 BOM マーカーの挿入による解析の妨害など。
  • コンパイルされた JavaScript や Python などの、非標準ペイロード形式の悪用など。

より高度な技術として挙げられるものには、地理認識ロジックが組み込まれた攻撃があり、特定地域においてのみペイロードが配信/実行される。このような意図的な地域制限により可視性は最小限に抑制されるため、そのようなキャンペーンは、従来型のサンドボックスによる検出を回避できる。

さらに、ペイロードの選定においても、攻撃量よりもステルス性が重視される傾向がある。典型的なペイロードは、.NET ビットマップ・ファイルやステガノグラフィ画像に隠蔽され、C2 インフラとして Google のサービスを悪用している。

OPSWAT の 2025 Threat Landscape Report のベースとなるデータは、マルウェア分析プラットフォーム Filescao.io を用いて、この12ヶ月間に実施された、89 万回以上のサンドボックス・スキャンから得られた行動テレメトリに基づくものだ。

マルウェアの複雑性指標は、このテレメトリを基に OPSWAT の研究者たちが算出したものであり、多段階マルウェアにおける平均エミュレーション・ノード数に基づいて定量化されている。

この記事で紹介されている、OPSWAT の 2025 Threat Landscape Report ですが、近年のマルウェアで用いられる、多段階実行や難読化を組み合わせた検出の回避などの手口が定量化されているとのことです。とてもマニアックなレポートですが、ご興味のある方は、原文を ご参照ください。よろしければ、カテゴリ Statistics もどうぞ。