インターネット速度測定を装うマルウェアに注意 裏で動く不審なスクリプト：セキュリティニュースアラート

セキュリティ研究者は速度測定アプリを装う不正ソフトウェアを発見した。Node.js環境や難読化JavaScriptを展開し、外部から任意の命令を受け付ける仕組みとなっていた。公式配布元からの入手徹底などの対策が求められている。

[後藤大地，有限会社オングス]

　セキュリティ研究者は2025年9月21日（現地時間）、インターネットの速度測定アプリケーションを装った不正ソフトウェアを発見したと報告した。オンライン速度テストを名乗るツールの他、マニュアル閲覧用ソフトや検索ユーティリティー、PDF関連の小規模ツール、一部のAI検索ラッパーアプリなどが確認されている。

　これらは一見すると通常の機能を果たすように見えるが、裏側で不要なファイルやスクリプトを展開している点が問題視されている。

速度測定を装う偽アプリ　便利ツールに潜むマルウェアの危険性

　研究者の解析によりインストーラーはユーザーが期待する速度計測などの処理を実行するが、同時にNode.jsの実行環境と難読化されているJavaScriptファイルを端末に展開することが分かった。タスクスケジューラに新たな項目を登録し、約12時間ごとにそのスクリプトが実行されるよう設定されていたという。このスクリプトは不明瞭な通信を、外部サーバから追加の命令やコードを受け取れる仕組みを備えていた。

　この隠されているコンポーネントがアプリ本来の動作には不要にもかかわらず常駐することが特筆すべき点と指摘されている。ユーザーが利用する表面上の機能は正常に働くため、不審な挙動に気付きにくい。結果として、表向きは便利なツールを装いながら、裏で任意の処理を受け付ける窓口が設置される形となる。

　解析の過程において、Node.jsを介して動作するスクリプトが「Windows」のレジストリー情報を参照し、特定の識別子（MachineGuid）などを収集していたことも確認されている。データはJSON形式でまとめられ、暗号化や符号化を施した上で、特定のリモートサーバに送信される仕組みとなっていた。研究者が通信を模擬的に置き換えたところ、外部からの応答内容次第でPowerShellの実行など、任意の操作が可能になっていることが実証されている。

　実際の観測において、外部サーバから返されるデータは空であったものの、将来的に命令が投入される可能性は否定できないと述べている。同様の不正ソフトは過去にも報告があり、導入から数日から数週間を経て活動をはじめる事例が確認されている。今回の速度測定アプリ群も同様の性質を持つと考えられる。

　研究者は、今回の事例を「便利そうに見える小規模ツールが不正活動の隠れみのになる典型」と指摘している。特に「不要なNode.js実行環境が同梱されている」「スケジュールタスクにJavaScript実行が登録されている」といった痕跡は、通常のユーティリティーソフトでは考えにくく、注意が必要としている。

　利用者側への基本的な対策としては、まず公式の配布元や信頼できるストアからのみアプリを入手することが挙げられる。インストール後に不審なタスクスケジューラ項目や未知のネットワーク通信が発生していないかを確認することも有効だ。企業環境においては、エンドポイント保護製品の導入や、未知のJavaScript実行を制限する設定が有効とされる。

　今回のセキュリティ研究者の発見は日常的に利用されやすいツールが攻撃の踏み台となる危険を示している。表面上は問題なく動作するアプリであっても、その裏で不審な処理が潜んでいる可能性がある。ユーザーは利便性に惑わされず、インストールするソフトの出どころと挙動を確認する姿勢が求められる。