フォレンジックツールVelociraptorを悪用する新攻撃が登場 対策はあるか？：セキュリティニュースアラート

攻撃者が正規DFIRツール「Velociraptor」を悪用し、Visual Studio Codeのトンネル機能を使ってC2通信を試みた事例をSophosが報告した。この攻撃がランサムウェア展開の前段階となる可能性を指摘している。

[後藤大地，有限会社オングス]

　Sophosは2025年8月26日（現地時間）、正規のオープンソース・デジタルフォレンジクスおよびインシデントレスポンス（DFIR）ツール「Velociraptor」が攻撃者によって悪用されているという調査結果を発表した。

　攻撃者はVelociraptorを悪用して「Visual Studio Code」をダウンロードし、C2サーバへのトンネル接続を試みたとされる。Visual Studio Codeのトンネルオプションは過去にも複数の攻撃グループが悪用した事例がある。

正規のフォレンジックツールを悪用　詳細な調査で分かった攻撃者の狙い

　同社のCounter Threat Unit（CTU）の調査によると、攻撃者は「Windows」の標準ユーティリティー「msiexec」を使い、「Cloudflare Workers」のドメインから「v2.msi」というインストーラーを取得している。このドメインは、Cloudflareのトンネリングツールや「Radmin」などのリモート管理ツールも含む、攻撃者のツール置き場として利用されていた。

　このインストーラーにはVelociraptorが含まれており、C2サーバ「velo[.]qaubctgg[.]workers[.]dev」と通信するよう設定されていたという。その後、攻撃者はエンコードされている「PowerShell」コマンドを実行し、同じCloudflare Workers上のフォルダから「code.exe」としてVisual Studio Codeを取得、トンネルオプションを有効にして実行した。

　この他、code.exeをサービスとして登録し、出力をログファイルにリダイレクトする手口も確認されている。加えて、攻撃者は再びmsiexecを使用し「sc.msi」と呼ばれる追加のマルウェアをダウンロードしている。

　この一連の挙動により、Visual Studio Codeのトンネル機能を利用した活動が検知され、Sophosが調査を開始。調査の過程で、顧客は影響を受けたホストを隔離するなどの対策を速やかに実行し、攻撃者の目的達成を阻止している。分析では攻撃の進行が続いた場合にはランサムウェアの展開に至った可能性が高いとしている。

　Sophosは、攻撃者がリモート監視や管理用のツールを不正利用することは珍しくないと指摘している。標的環境に既存のツールが存在する場合にはそれを利用し、存在しない場合には攻撃の過程で導入する手口が見られる。今回のVelociraptor悪用事例は、攻撃者が従来の監視ツールだけでなく、インシデントレスポンス用の正規ツールをも攻撃に転用している点を示している。これはマルウェアの導入を最小限に抑えつつ、ネットワーク上に拠点を築くための新たな手法とされている。

　この発表の中でSophosは、Velociraptorの不正利用を検知した場合、それがランサムウェア攻撃の前段階の可能性を想定する必要があると警告している。組織は、EDR（Endpoint Detection and Response）製品の導入、予期しないツールの使用や不審な挙動の監視、システムの防御強化やバックアップの実施などを徹底することでリスクを軽減できるとしている。特にランサムウェアが展開される前に不正活動を検知できれば、攻撃による被害を大きく抑制できるとしている。

　Sophosはこの攻撃に関連する活動を検知するための保護機能を提示している。「Troj/Agent-BLMR」「Troj/BatDl-PL」「Troj/Mdrop-KDK」といったシグネチャによって検出が可能だ。CTUは今回の調査で確認されている攻撃関連のインジケーターも公表している。

　今回の報告は、正規ツールの不正利用が進化している状況を示す事例となっている。Velociraptorは本来、調査や対応に使われる有用なツールだが、攻撃者の手に渡れば侵害の一助となり得る。組織はこのリスクを理解し、監視体制の強化と早期検知に努めることが求められている。