SSL VPNに偽装したマルウェア「SilentRoute」に注意 その巧妙な手法を解説：セキュリティニュースアラート

VPNクライアントに偽装したマルウェア「SilentRoute」が見つかった。正規ソフトに偽装し、資格情報を外部に送信する高度なマルウェアだ。被害者は検索エンジン経由で偽のWebサイトに誘導され、ダウンロードしていた。

[後藤大地，有限会社オングス]

　eSentireは2025年7月2日（現地時間）、SonicWallのSSL VPNクライアント「NetExtender」に偽装したマルウェア「SilentRoute」に関する調査結果を発表した。

　eSentireの脅威対応ユニット（以下、TRU）が発見したこの脅威は、ユーザーが正規のNetExtenderと誤認して悪意のあるバージョンをダウンロードしたことにより判明した。

SonicWallを装う悪意あるプログラムに注意　巧妙な手法と対策を解説

　この改ざん版NetExtenderは、外見や機能の大部分が正規のクライアントと同一でありながら、ユーザーの資格情報（ドメインやユーザー名、パスワードなど）を攻撃者が制御するサーバ（IPアドレス：132.196.198[.]163、ポート：8080）に送信するように設計されている。

　TRUの調査によると、被害者は検索エンジンを通じてNetExtenderを入手しようとし、SonicWallの公式Webサイトを模倣した不正なWebページに誘導されていた。そのWebサイトには正規のソフトウェアと同名のMSIインストーラー（「SonicWall-NetExtender.msi」）が提供されており、デジタル署名も付与されていた。

　このデジタル証明書はGlobalSignが発行したExtended Validation（EV）証明書であり、「Microsoft SmartScreen」による検出を回避していた。この証明書はeSentireの通報を受けて既に失効されている。

　不正なインストーラーには「NEService.exe」と「NetExtender.exe」という2つの実行ファイルが含まれており、いずれも改ざんされていた。NEService.exeはNetExtender.exeのデジタル署名検証を回避するよう修正されており、NetExtender.exeは資格情報の外部送信機能が追加された。NEService.exeの署名は改ざんによって検証に失敗し、NetExtender.exeは署名されていなかった。

　TRUは攻撃者が正規バイナリを逆アセンブルまたは逆コンパイルし、悪意あるコードを挿入後に再コンパイルする手法が使われていたと分析している。これにより、正規の動作を維持しつつ、資格情報の送信機能をひそかに組み込んでいた。

　資格情報の送信前には「AuthRemote」と呼ばれる関数を使用してXORキー「xseed」により暗号化されており、解析を困難にする仕組みが採用されていた。

　eSentireはこの脅威に対し、次のような対応を推奨している。

• 該当の改ざん版ソフトウェアを使用したユーザーのパスワードを直ちに変更し、二次的な侵害活動の有無を調査する
• 非公式なWebサイトからのソフトウェアダウンロードに関するリスクを啓発するセキュリティトレーニングを実施する
• 次世代アンチウイルス（NGAV）やEDR（Endpoint Detection and Response）製品を使って脅威の検出および封じ込めをする
• 正規ソフトウェアのダウンロードリンクを社内で一元管理し、ユーザーが容易にアクセスできるように整備する

　今回の事例はデジタル証明書の有無のみではソフトウェアの正当性を保証できないことや、攻撃者が高度な技術を使って正規ソフトウェアに酷似した不正プログラムを作成する手法が存在することを示している。