主流のマルウェアが使う検知回避テクニックとは? 対抗するための5つの防御策:セキュリティニュースアラート
サイバー犯罪者は高度なマルウェア回避技術を駆使し、従来のセキュリティ対策をすり抜ける攻撃を展開している。最近のマルウェアが使う主流の検知回避技術と、これに対抗するための5つの防御策を紹介する。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティニュースメディア「Cybersecurity News」は2025年5月20日(現地時間)、近年サイバー犯罪者が高度なマルウェア回避技術を駆使し、従来のセキュリティ対策をすり抜ける攻撃を展開していると報じた。防御側に新たな対応力が求められている。
Cybersecurity Newsによると、2024年上半期だけで報告のあったランサムウェア攻撃は2500件を超え、1日当たり平均14件以上の攻撃が発生したという。被害総額は世界全体で10億ドルを上回っている。こうした中、サイバーセキュリティ研究者らは複雑な多段階型マルウェアキャンペーンの存在を明らかにし、これらが進化した回避技術を用いて検出を逃れていることを示している。
主流のマルウェアが使う検知回避テクニックとは?
2025年4月には、「FakeUpdates」(別名:SocGholish)が全世界の組織の6%に影響を与える主要なマルウェアとして確認されている。このマルウェアは検出を回避するよう設計されており、多段階の攻撃チェーンで「AgentTesla」「Remcos」「XLoader」といった既知のマルウェアファミリーを配信している。
医療業界におけるインシデントで、1件当たりの平均復旧費用は977万ドルに達している。またIoTデバイスへの攻撃は2025年末までに倍増すると予測されている。2024年には33の新規または改名した脅威アクターが登場し、現在活動中のグループ数は75に上るとされている。
主流のマルウェアが使う検知回避技術は以下の通りだ。
- ポリモーフィックおよびメタモーフィック技術: 感染のたびにコードや外見を変化させることで、シグネチャベースの検出を困難にする
- コード難読化とペイロードの隠蔽(いんぺい): サイバー犯罪者はコードの構造や論理を複雑化させる難読化を意図的に使用する。コードのパッキングや暗号化、圧縮といった手法が一般的に使われ、悪意のあるペイロードの解析を困難にしている
- プロセスホロウイング: 正規のプロセスを新たに立ち上げ、内部のコードを悪意あるものに置き換える。この技術により、マルウェアは信頼されたコンテキスト内で動作し、静的シグネチャに依存する防御を回避する
- サンドボックスおよび仮想化環境の回避: マルウェアはペイロードを展開する前に解析環境の兆候を検出する機能を備えている。環境認識やユーザー操作の有無、時間ベースの回避技術などが含まれ、例えばマウスの動きやキーボード入力の有無を検出することで自動解析環境の判断材料とする他、実行までの時間を遅らせて解析を無効化する
- 環境寄生型(LOTL)攻撃: PowerShellやWindows Management Instrumentationなどの正規ツールで悪意ある処理を実行する攻撃が増加している。既存の信頼されたプログラムを悪用することで不審なファイルの検出を回避する
- AIを利用した回避: セキュリティ対策に機械学習が使われる一方で、攻撃者は敵対的機械学習技術によって対抗している。入力データを改変し、AIベースのセキュリティ対策に誤分類を引き起こさせるなどの攻撃が使われている
高度な回避技術に対処するためには、防御側も多層的な防御戦略を採用する必要がある。主な対策は以下の通りだ。
- 積極的な脅威ハンティング: アラートに依存せず、ログの異常を調査し、疑わしいファイルの解析やマルウェアの逆コンパイルを行うことで境界を突破した脅威を見つけ出す
- 多様なサンドボックス構成: 環境認識型マルウェアによる検出を困難にするため、ランダム化された構成を持つ複数のサンドボックス環境を導入する
- デセプション技術の活用: 攻撃者を誘引するハニーポットや模擬システムを配置することで、不正アクセスを即時に検知し、攻撃手法の観測を可能にする
- 行動ベースの分析: コードの内容ではなく挙動を分析するソリューションを導入し、変異したマルウェアによる活動を検出する
- ゼロトラストの導入: アクセス元やロケーションにかかわらず、全てのユーザーと通信を検証するセキュリティモデルを構築する
マルウェアの進化が続く中、防御側もそれに応じた柔軟な戦略を持つことが求められている。回避技術を理解することが進化している脅威への対抗策を構築する第一歩となる。技術的対策に加え、積極的な分析と継続的な監視を組み合わせることで2025年の変化する脅威環境に対応する強固な防御体制を築くことが可能となる。
関連記事
「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加
Action1は2025年版「Software Vulnerability Ratings Report」を発表した。ソフトウェア脆弱性は2024年に前年比61%増加し、既知の悪用件数も96%増加したという。特にLinux関連の脆弱性は前年比で967%増加した。
日本を標的にした大規模フィッシングキャンペーンが激増 その高度な手口
Proofpointは、日本を標的とした大規模な「CoGUI」フィッシング攻撃を観測した。攻撃者は楽天やPayPayなどの有名ブランドを装い、ユーザーから個人情報を盗み取ろうとしている。
NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
NECは「.JP(日本のサイバー空間)を守る」をスローガンに、サイバーセキュリティ事業のさらなる強化を図るという。その一環として、KDDIとの協業に加えて“自社ビル”でのグローバルSOC構築に向けて新施設を公開した。そのメリットとは何か。
何としても情報を届けたい 三井住友銀行の“ギリギリを攻めた注意喚起”
世の中には詐欺被害撲滅に向けた数多くのコンテンツが発信されていますが、この情報を本当に知ってほしい“被害者予備軍”の人には届いていない厳しい実態があります。今回は少々“過激”なやり方で情報を発信したある事例を紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- “AIエージェントの次”のトレンドは何か Gartnerが描く未来志向型インフラのハイプ・サイクル
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 汎用LLMはもう終わり? Gartnerが「次の5年」を決める技術を発表
ITmediaはアイティメディア株式会社の登録商標です。