※ 本ブログは、2025年12月11日にHP WOLF SECURITY BLOGにポストされた HP Wolf Security Threat Insights Report: December 2025 の日本語訳です。

HP Wolf Security 脅威インサイトレポートの2025年12月版へようこそ。四半期ごとに我々のセキュリティエキスパートが、 HP Wolf Securityで特定された注目すべきマルウェアキャンペーン、トレンド、テクニックを紹介します。検知ツールを回避してエンドポイントに到達した脅威を隔離することで、HP Wolf Securityは、サイバー犯罪者が使用している最新のテクニックを把握し、セキュリティチームに新たな脅威と戦うための知識を与え、セキュリティ体制を向上させます。[1]

本レポートでは、2025年第3四半期に実際に発生した脅威について解説します。

2025年9月、HP脅威リサーチチームは南米の個人を標的とした大規模なマルウェアキャンペーンを特定しました。攻撃者はコロンビア検察庁からの公式通信を装ったEメールを配布していました。メールの件名には損害賠償請求、訴訟、人権次官府からの通知、刑事手続きの裁判所召喚状などが含まれていました。権威ある送信者を装い、緊急性や威圧的な表現を組み合わせることで、受信者が添付ファイルを開く可能性を高めていました。

各メールにはSVGファイルが添付されており、この形式はマルウェアキャンペーンでますます使用されるようになっています。SVGファイルはデフォルトでブラウザで開かれ、HTMLページのようにレンダリングされる一方で、標準的なHTML添付ファイルよりも効果的にEメールセキュリティフィルターを回避します(T1027.017)。[12] このキャンペーンに関連するVirusTotalにアップロードされた150以上のSVGサンプルを分析した結果、検知率はわずか4%でした。

リンク先のWebサイトは法務省の市民向けポータルサイトを模倣し、追加の事件ドキュメントが利用可能であると称していました。ページとのやり取りにより「チケット」が生成され、ユーザーはファイルのダウンロードへリダイレクトされました。洗練されたアニメーションがダウンロードプロセスを模倣し、アーカイブを開くために必要なパスワードを表示しました。

ダウンロードされたファイルは暗号化された7zアーカイブでした。Windows 11では、これらのアーカイブはファイルエクスプローラーでネイティブに開くことができ、サードパーティ製ツールが不要です。ユーザーは偽のポータルからパスワードを取得し、それを入力してアーカイブを解凍します。

アーカイブには完全なソフトウェアインストールディレクトリ：実行ファイル、複数のDLL、および2つのデータファイルが含まれています。感染には被害者が実行ファイルを実行する必要がありますが、説得力のあるルアーが高い成功率をもたらした可能性があります。これらのファイルの大半は正規のもので、信頼できるベンダーによって署名されていました。しかし、1つのDLL（Zxl.dll）は不正な署名を持っており、署名後に改変されたことを示しています(T1554)。[13]

マルウェアを実行するため、攻撃者はDLLサイドローディング(T1574.001)を採用しました。[3] ユーザーが正当な署名付き実行ファイルを起動すると、そのフ ァイルが改ざんされたDLLをロードし、悪意のあるコ ードを実行します。この手法はWindows SmartScreenチェックとユーザー警告を回避します。 これを実現するため、脅威アクターはエクスポートされたDLLを改変し、本来の機能ではなくマルウ ェアを起動するようにしました。

分析の結果、 このマルウェアはHijackLoader [14] のロ ーダーステージであることが判明しました。時間ベースのアンチデバッグ (T1622)[15]、システム構成チ ェック(T1497.001) [16]、さらにKernel32 API関数ではなく直接システムコール(T1106)の実行 [17] による、ア ンチ解析、アンチVM対策を備えていました。このロ ーダーは署名付き実行ファイルをAppDataおよびProgramDataディレクトリに書き込み、正規ソフトウ ェアに紛れ込ませます。

チ ェックとファイル書き込みを完了後、マルウェアはPIClient32.exeを使用してサスペンド状態のプロセスを生成します。このプロセスに悪意のあるコードをインジェクションし、スレッドコンテキストを変更した後、実行を再開します(T1055)。[9] 

この正当に見えるプロセス内で、最終ペイロードが解凍されます。.NETで開発されたこのペイロードは、マルウェアを実行する前にまずCommon Language Runtimeをロードします。

最終段階で展開されるのはPureRATで、これはモジュール式のリモートアクセス型トロイの木馬

（RAT）で、攻撃者による感染システムの制御を可能にします。[18] 永続性を確保するため、マルウェアはPCが再起動するたびにPureRATを再読み込みするスケジュールされたタスクを作成します。

このキャンペーンは、高度に説得力のあるソーシャルエンジニアリングと技術的回避手法を組み合わせた点で注目に値します。アニメーションや現実的なワークフローを備えた洗練されたルアーは、その説得力と被害者が自身のPCを感染させる可能性を高めました。正当な署名付き実行ファイルに対するDLLサイドローディングを利用することで、攻撃者はWindowsの組み込み防御機能を回避し、ユーザーの疑念を逃れました。HijackLoaderは、検知に依存するセキュリティ対策を回避するため、多くのステルス機能と解析回避機能を採用しています。

このキャンペーンでは、攻撃者がマルウェアを配布するためにEメール経由でPDF添付ファイルを送信しました。メールは製品問い合わせへの返信を装っており、受信者から判断すると、個人ではなく企業を標的としたキャンペーンと考えられます。

添付PDFはAdobeブランド(T1656)を使い、機密情報を含むと称しています。[19] 受信者はドキュメントを表示するためにボタンをクリックするよう指示されます。リンクをクリックすると、Adobeのデザインを模倣したWebサイトにリダイレクトされます。ページはユーザーの製品が古くなっていることを警告し、更新を提示します。進行状況バーのアニメーションがインストールプロセスを模倣し、初期化、コンポーネントダウンロード、完全性検証、完了といった段階を表示します。これらのステップはJavaScriptでスクリプト化されており、実際のインストールは一切行われません。

偽のプロセス終了時、サイトはユーザーに実行ファイルのダウンロードを促します。このファイルは正規のリモートサポートツール ScreenConnect を改変したものです。[5] 設定を変更することで、攻撃者は侵害されたシステムを自身のサーバーに接続し、遠隔操作権を獲得します。

このキャンペーンはカスタム開発ではなく、流用されたコンポーネントに大きく依存していました。攻撃者は無料でオンラインからコンポーネントをダウンロードしたり、ハッキング市場で購入したり、クラック版ソフトウェアを使用した可能性があります。例えば、攻撃に使用されたPDFテンプレートはオンラインで入手可能でした。攻撃者が行うべきことは、武器化するために埋め込まれたURLを変更して武器化することだけでした。

この活動は、洗練されたアニメーションを用いたルアーを用いてユーザーに自身のコンピューター上でマルウェアを実行させるよう仕向ける、ハイパーリアリスティックなソーシャルエンジニアリングへの広範な移行を反映しています。

2025年8月、我々はフィッシングメールを介して悪意のあるアーカイブファイルを配布する複数のキャンペーンを確認しました。攻撃者はエンジニアリングおよび製造業セクターの企業向け主要サプライヤーを装っていました(T1656)[19]。標的の大半はトルコに拠点を置く企業でした。

添付のアーカイブはXZ形式を使用しており、 Windowsはこれをネイティブでサポートしていません。ユーザーは解凍するためにサードパーティ製ツールが必要です。解凍後、アーカイブからはVBSまたはVBEファイル(T1059.005)が得られます。[10] この感染チェーンは、ユーザーがこのスクリプトを手動で実行した場合にのみ開始されます。

このスクリプトは、シグネチャベースおよびヒューリスティックスキャナを欺くために設計された、一見無害に見える機能と悪意のあるコードを組み合わせています（T1027.016）。[20] 実際のペイロードロジックは、これらの注意をそらす要素の中に隠されています。マルウェアは実行前に、システムが分析環境であるかどうかをまず確認します（T1497.001）。分析環境と検出された場合、実行は停止します。そうでない場合、マルウェアは悪意のあるPowerShellコード(T1059.001)をコンパイルし、その後実行します。[21]

デコードされたPowerShellコードは、感染チェーンにおける中間ステージとなります。このスクリプトはWebからペイロードをダウンロードし、展開して実行します。興味深いことに、本キャンペーンの攻撃者は、次のステージのマルウェアを感染コンピュータに転送するために画像（このケースでは英国ロンドンのエリザベスタワーの画像）を利用しており(1027.003)、これによりWebゲートウェイスキャナーによる検知が困難となります。[6]

ス クリプトは、攻撃者が制御する2つのWebサイトのいずれかから画像を取得し、それをローカル変数に読み込みます。次に、画像のバイト列内で特定のパターン を検索し、マルウェアコードが隠されている位置をス クリプトに指示します。ここでは次のステージがフ ァイルの末尾に配置されていましたが、攻撃者はフ ァイル内の任意の場所に配置することも可能です。

画像からマルウェアコードを抽出した後、そのコードはバイト配列に変換され、PowerShellを介して.NETアセンブリとして直接読み込まれます(T1620)。[22] その後、PowerShellはペイロードから型と関数を判別し、必要な引数と共にメイン関数を呼び出してマルウェアを実行します。引数には以下の内容が指定されます：

• 最終ペイロードのダウンロード元
• 永続化を確立するか否か
• どの正当なプロセスに注入するか

分析対象のサンプルでは永続化が無効化されていたため、再起動によりマルウェアは除去されました。最終的なペイロードは固定IPアドレスからダウンロードされ、信頼されたプロセスであるMsBuildに注入されることで検知を回避していました（T1055)。[9]

ペイロードはインフォスティーラーMassLoggerの派生型でした。[23] これはプロセスメモリ内に特徴的なバナーを表示することで自己を識別します。 MassLoggerは、貴重なログイン情報を保存するメールクライアントやブラウザを含む多数のアプリケーションから、認証情報や機密データを抽出することができます。

2025年第3四半期において、HP Sure Clickによって阻止された脅威の約10件に1件（11%）がPDFドキュメントで、PDF関連の脅威は第2四半期と比較して3ポイント増加しました。[4]

このキャンペーンは典型的な攻撃パターン：PDFファイルを添付したEメールでした。件名から判断すると、標的は主に企業です。攻撃者はコード実行を得るためにエクスプロイトに依存するのではなく、PDFに埋め込まれたソーシャルエンジニアリング画像を悪用し、受信者を騙して悪意のあるファイルを配信するリンクをクリックさせました。

このケースでは、PDFファイルはユーザーがドキュメントを表示するためのアプリケーションを所有していないと偽り、オンラインで開くためのリンクをクリックするよう促しました。背景にはドキュメントのぼやけたプレビューが表示され、ルアーをより説得力のあるものにしていました。

リンクはDiscord上にホストされているファイル(T1027.003)へとつながっており、被害者のPCにダウンロードされます。[7]　Discordを配信チャネルとして利用することで、攻撃者が独自のインフラを維持する必要がなくなります。これらのキャンペーンは短期間で終了するため、数時間後にファイルを削除しても、その成功率にほとんど影響を与えません。

ダウンロードされたファイルは、PDFファイルに見せかけるため二重拡張子(T1036.007)で偽装された7zアーカイブです。24 内部では同様の手法により実行ファイルが隠されています。このEXEファイル自体は無害でMicrosoftによる署名(T1218)が施されているため、マルウェアスキャナーが不審なファイルとして検知する可能性は低いと考えられます。[2]

実際の攻撃は、署名付き実行ファイルがmsedge_elf.dllという悪意のあるDLLをサイドロードする際に始まります(T1574.001)。[3] このEXEファイルは正規のもので署名されているため、セキュリティチェックを回避します。エクスポートテーブルで2つの関数のみを公開しているこのDLLには、悪意のあるコードが含まれています。

このコードはペイロードではなくローダーとして機能します。その役割は、最終的なマルウェアを解凍しインジェクションすることです。ペイロードが.NETで記述されているため、ローダーはそれをホストするために正規の.NETプロセス(AddinProcess32.exe)を生成します。インジェクション前に、ローダーはターゲットプロセス内のZwManageHotPatch関数をパッチ処理し、Windows 11 24H2のメモリ完全性機能(T1562.001)によるプロセスインジェクションのブロックを回避します。[25][26] パッチ処理後、ローダーはマルウェアをメモリに書き込み、スレッド環境ブロックを変更して実行をリダイレクトし、スレッドを再起動します(T1055)。[9]

最終的なペイロードはPhantom Stealerで、オンラインではペネトレーションテストツールとして販売され、サブスクリプション形式で提供されています。[8] 実際に、これは解析回避機能を備えたインフォスティーラーです。Phantom Stealerはブラウザのパスワード、クッキー、クレジットカード情報、仮想通貨ウォレットを収集することができます。設定に応じて、窃取されたデータは

SMTP、Telegram、Discord、またはFTP経由で外部に持ち出されます。

近年、攻撃者はマルウェアを配信するために使用する感染経路やファイル形式の範囲を拡大しています。 Officeドキュメントを介したマルウェア配信の人気は低下しているものの、この攻撃手法は依然として活発です。多くの攻撃はMicrosoft Officeの脆弱性を突きますが、悪意のあるコードを実行するためにVisual Basic for Applications（VBA）マクロに依存するケースも依然として存在します(T1059.005)。[10]

多くの組織におけるセキュリティポリシーでは、信頼できないマクロをブロックすべきですが、一部の環境では誤った設定によりマクロの実行が許可されています。脅威アクターはこうした隙を突いて、Officeドキュメントを通じてマルウェアを拡散させています。

あるキャンペーンでは、購入注文書に見せかけたWordドキュメントがアジアの企業に送付されました。そのルアーは最小限のもので、ドキュメントが保護されておりプレビューできないと記した短い中国語のメッセージで構成されていました。被害者はファイルをダウンロードし編集を有効にした後、内容を閲覧するためにマクロを有効にするよう指示されました。

マクロを有効にすると、感染チェーンが引き起こされます。埋め込まれたVBAマクロは、攻撃者が制御するIPアドレスからPowerShellスクリプト(T1059.001)をダウンロードし、一時フォルダに保存した上で実行します。[21]

このスクリプトは、別の暗号レイヤーを復号化しメモリ上で実行します。これにより.NETバイナリがデコードされ、マルウェア内の特定の関数が呼び出されます。この関数には以下の2つの引数が渡されます：

• AddInProcess32へのパス（正規の.NET Framework実行ファイル）
• 大容量のバイト配列

NETバイナリはインジェクターとして機能します。インポートテーブルへの記載を回避し、静的検知を逃れるため、Windows API関数を実行時に動的解決を行います(T1027.007)。[27] バイト配列はデコードされ、古典的なプロセスインジェクション(T1055)を用いて、信頼されたAddInProcess32プロセスにインジェクションされます。これにより、マルウェアは正当なプロセス内に潜伏することが可能となります。[9]

インジェクションされたペイロードはAgent Teslaと呼ばれるインフォスティーラーファミリーです。これはハッキング市場でサブスクリプションサービスとして販売されている人気の高いマルウェアです。[11] このマルウェアはキーストロークやクリップボードデータを記録し、感染したPC内で認証情報や機密ファイルを検索することができます。また、HTTP、SMTP、FTPといった複数のプロトコルやTelegramチャネルを介してデータを外部へ持ち出します。

悪意のあるEメールの添付ファイルの大半はマルウェアを配信しますが、添付ファイルを利用したフィッシングキャンペーン(T1566)も依然として多く見られます。[28] このケースでは、攻撃者は単純でありながら説得力のある手法を採用しました。リンクを送信する代わりに、HTMLファイルをEメールに添付したのです。このファイルがEメールセキュリティゲートウェイを迂回すると、攻撃者にはいくつかの利点が生まれます。

HTMLドキュメントはブラウザ内でローカルに開かれるため、Webプロキシやその他のセキュリティツールによる監視を回避できます。

フィッシングページは、広く利用されているファイル共有サービスWeTransferを模倣したものでした(T1656)。[19] その模倣は細部にわたり、ファイルのプレビューやメタデータまで含んでおり、ページが本物のように見えるようになっていました。

受信者がファイルのダウンロードを試みると、ログインを求められます。しかしながら、これらの認証情報はWeTransferには送信されず、Telegram経由で攻撃者に送信されます(T1102.003)。[29]

HP Wolf Security 脅威インサイトレポートは、ほとんどのお客様が脅威のテレメトリをHPと共有することを選択することによって実現されています。当社のセキュリティ専門家は、脅威の傾向や重要なマルウェアキャンペーンを分析し、洞察を注釈したアラートをお客様にフィードバックしています。

HP Wolf Security の導入を最大限に活用するために、お客様には以下のステップを踏むことをお勧めします。[a]

• HP Wolf Security ControllerでThreat Intelligence ServicesとThreat Forwardingを有効にし、MITRE ATT&CKのアノテーション、トリアージ、専門家による分析を受けることができるようにしてください。[b] 詳細については、ナレッジベースの記事をご覧ください。[30][31]
•  HP Wolf Security Controllerを最新の状態に保ち、新しいダッシュボードとレポートテンプレートを受け取ることができるようにしてください。最新のリリースノートとソフトウェアのダウンロードは、カスタマーポータルでご覧ください。[32]
• HP Wolf Securityのエンドポイントソフトウェアをアップデートし、当社の研究チームが追加した脅威アノテーションルールを常に最新に保ってください。

HP Threat Research チームは、セキュリティチームが脅威から身を守るために役立つ 侵害の痕跡 (IOC) やツールを定期的に公開しています。これらのリソースは、HP Threat Research GitHub リポジトリからアクセスできます。[33] 最新の脅威に関する調査については、HP WOLF SECURITY ブログ[34] にアクセスしてください。

企業は、ユーザーがEメールの添付ファイルを開いたり、Eメール内のハイパーリンクをクリックしたり、Webからファイルをダウンロードすることに対して最も脆弱です。HP Wolf Securityは、リスクの高いアクティビティをマイクロVMに隔離し、ホストコンピュータがマルウェアに感染したり、企業ネットワークに広がったりしないようにすることで企業を保護します。HP Wolf Securityは、イントロスペクションを使用して豊富なフォレンジックデータを収集し、お客様のネットワークが直面する脅威を理解し、インフラストラクチャを強化できるよう支援します。HP Wolf Security 脅威インサイトレポートは、当社の脅威研究チームが分析した注目すべきマルウェアキャンペーンを紹介し、お客様が新たな脅威を認識し、環境を保護するために行動を起こすことができるようにします。

HP Wolf Securityは、新しいタイプ[c] のエンドポイントセキュリティです。HPのハードウェアで強化されたセキュリティとエンドポイントに特化したセキュリティサービスのポートフォリオは、組織がPC、プリンター、そして人々をサイバー犯罪者から守るために設計されています。HP Wolf Security は、ハードウェアレベルからソフトウェアやサービスに至るまで、包括的なエンドポイントの保護とレジリエンスを提供します。

[1] https://hp.com/wolf

[2] https://attack.mitre.org/techniques/T1218/

[3] https://attack.mitre.org/techniques/T1574/001/ 

[4] https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-september-2025/

[5] https://en.wikipedia.org/wiki/ConnectWise_ScreenConnect

[6] https://attack.mitre.org/techniques/T1027/003/ 

[7] https://attack.mitre.org/techniques/T1608/001/ 

[8] https://malpedia.caad.fkie.fraunhofer.de/details/win.phantom_stealer

[9] https://attack.mitre.org/techniques/T1055/ 

[10] https://attack.mitre.org/techniques/T1059/005/ 

[11] https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_tesla

[12] https://attack.mitre.org/techniques/T1027/017/ 

[13] https://attack.mitre.org/techniques/T1554/ 

[14] https://malpedia.caad.fkie.fraunhofer.de/details/win.hijackloader

[15] https://attack.mitre.org/techniques/T1622

[16] https://attack.mitre.org/techniques/T1497/001 

[17] https://attack.mitre.org/techniques/T1106/

[18] https://malpedia.caad.fkie.fraunhofer.de/details/win.pure_rat

[19] https://attack.mitre.org/techniques/T1656/ 

[20] https://attack.mitre.org/techniques/T1027/016/ 

[21] https://attack.mitre.org/techniques/T1059/001/ 

[22] https://attack.mitre.org/techniques/T1620/ 

[23] https://malpedia.caad.fkie.fraunhofer.de/details/win.masslogger

[24] https://attack.mitre.org/techniques/T1036/007/

[25] https://hshrzd.wordpress.com/2025/01/27/process-hollowing-on-windows-11-24h2/

[26] https://attack.mitre.org/techniques/T1562/001/

[27] https://attack.mitre.org/techniques/T1027/007/

[28] https://attack.mitre.org/techniques/T1566/

[29] https://attack.mitre.org/techniques/T1102/003/ 

[30] https://enterprisesecurity.hp.com/s/article/Threat-Forwarding

[31] https://enterprisesecurity.hp.com/s/article/HP-Threat-Intelligence

[32] https://enterprisesecurity.hp.com/s/

[33] https://github.com/hpthreatresearch/

[34] https://threatresearch.ext.hp.com/blog

a. HP Wolf Enterprise Securityはオプションサービスで、HP Sure Click EnterpriseやHP Sure Access Enterpriseなどが該当します。HP Sure Click Enterpriseは、Windows 10が必要で、Microsoft Internet Explorer、Google Chrome、ChromiumまたはFirefoxに対応しています。Microsoft OfficeまたはAdobe Acrobatがインストールされている場合、サポートされている文書には、Microsoft Office（Word、Excel、PowerPoint）およびPDFファイルが含まれます。HPSure Access Enterpriseには、Windows 10 ProまたはEnterpriseが必要です。HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件による影響を一切受けません。完全なシステム要件については、以下を参照ください。 www.hpdaas.com/requirements

b. HP Wolf Security Controllerは、HP Sure Click EnterpriseまたはHP Sure Access Enterpriseが必要です。HP Wolf Security Controllerは、デバイスやアプリケーションに関する重要なデータを提供する管理・分析プラットフォームで、スタンドアロンサービスとしては販売していません。HP Wolf Security Controllerは、厳格なGDPRプライバシー規制に従っており、情報セキュリティに関してISO27001、ISO27017、SOC2 Type2の認証を受けています。HPクラウドへの接続が可能なインターネットアクセスが必要です。完全なシステム要件については、以下を参照ください。www.hpdaas.com/requirements

c. HP SecurityはHP Wolf Securityになりました。セキュリティ機能はプラットフォームによって異なりますので、詳細は製品データシートをご覧ください。

HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件にによる影響を一切受けません。

 © Copyright 2022 HP Development Company, L.P. ここに記載されている情報は、予告なく変更されることがあります。HP の製品およびサービスに関する唯一の保証は、当該製品およびサービスに付随する明示的な保証書に記載されています。本書のいかなる内容も、追加的な保証を構成することは一切ありません。 HP は、本書に含まれる技術的または編集上の誤りや脱落について責任を負いません。

Author : HP WOLF SECURITY

監訳：日本HP