※ 本ブログは、2025年9月12日にHP WOLF SECURITY BLOGにポストされた HP Wolf Security Threat Insights Report: September 2025 の日本語訳です。

HP Wolf Security 脅威インサイトレポートの2025年9月版へようこそ。四半期ごとに我々のセキュリティエキスパートが、 HP Wolf Securityで特定された注目すべきマルウェアキャンペーン、トレンド、テクニックを紹介します。検知ツールを回避してエンドポイントに到達した脅威を隔離することで、HP Wolf Securityは、サイバー犯罪者が使用している最新のテクニックを把握し、セキュリティチームに新たな脅威と戦うための知識を与え、セキュリティ体制を向上させます。[1]

本レポートでは、2025年第2四半期に実際に発生した脅威について解説します。

ユーザーがWindowsアプリケーションの使用方法について支援を必要とする場合、組み込みのドキュメントに頼ることがよくあります。Microsoft Windowsでは、HTMLヘルプ実行ファイル（hh.exe）を介してマニュアルを表示するネイティブの仕組みを提供しており、これはコンパイル済みHTMLヘルプ（.chm）ファイルを読み込みます。これらのファイルはスクリプトをサポートしているため、マルウェア配布の魅力的な手段となります。2025年第2四半期には、.chmファイルを利用してマルウェアを配布する複数のキャンペーン(T1218.001)を確認しました。特に顕著な例として、XWorm  [11][3]が挙げられます。

攻撃者は、プロジェクトドキュメントを装った悪意のある.chmファイルをEメールの添付ファイルとして配布しました。使用されたルアーから判断すると、このキャンペーンの標的は個人ではなく企業であったと思われます。これらのファイルを開くと、自動的にhh.exeによってレンダリングされます。このプログラムはコンテンツを表示するだけでなく、埋め込まれたスクリプトをローカルで実行します。

.chmファイルはコンパイル済みですが、hh.exeには組み込みの逆コンパイラが含まれており、アナリストが元のHTMLソースを復元することが可能です。これら、のキャンペーンにおいて、ファイルには実際のドキュメントは含まれておらず、多段階感染を開始するように設計された悪意のあるスクリプトのみが含まれていました。

埋め込まれたスクリプトは、検知を回避しペイロードを実行するために、複数のWindowsの自給自足したバイナリを利用します：

• スクリプトはまず、extrac32.exeを使用し正規の実行ファイルWindows Script Host（cscript.exe）をSystem32からPablicへコピーします：

extrac32 /y /C C:\Windows\system32\cscript.exe C:\Users\Public\ript.exe

extrac32 は通常、CAB アーカイブからファイルを抽出するために使用されますが、ソースが CAB ではない場合、単にファイルを宛先にコピーします。[12] この移動により、デフォルトの場所の cscript.exe を監視するセキュリティツールを回避することが可能となります。

• VBScript (T1059.005) ファイルが Public ディレクトリに配置されます。[13] このファイルは二つの引数を受け付けます：ダウンロード URL とローカルパスです。その後、PowerShell (T1059.001) を使用してこのスクリプトを実行し、バッチファイルをダウンロードしてローカルに保存します。[5]

• バッチファイル(T1059.003)は、PowerShellを介して実行され、JavaScriptファイル(T1059.007)をProgramDataディレクトリにダウンロードし、ネイティブのWindowsスクリプトインタープリターを使用して実行します。[14][ 8]

• PowerShellは、痕跡を隠蔽するため、すべての一時ファイルを削除し、hh.exeプロセスを終了させます。

一見すると、このJavaScriptファイルは無害に見えます。しかし、詳しく調べると、検知を回避するために設計された悪意のあるセクションが発見されます。このスクリプトは長いBase64エンコードされた文字列を連結し、それをPowerShellに渡します。PowerShellはこれをデコードし、次のステージを実行します。

このPowerShellスクリプトは、Tagboxというデジタルアセット管理サイトから画像をダウンロードします。ドメインが信頼されており、ファイルが有効な画像であるため、ほとんどのセキュリティフィルターを回避します(T1068.001)。[15]

ただし、画像には隠されたデータ(T1027.003)が含まれています。[4] スクリプトは画像内をスキャンし、特定のバイト列を検出することで埋め込まれたペイロードの位置を特定します。その後、画像データをビットマップオブジェクトに読み込みます。次に、ビットマップオブジェクトを反復処理し、ピクセル操作を実行して各ピクセルの赤、緑、青の値を抽出し、それらをリストに格納します。このリストの最初の4バイトが新しいバイト配列のサイズを定義し、続いて再帰的にロードされます(T1620)。[16] これにより、 PowerShellは埋め込まれた.NETアセンブリ内の関数を呼び出すことが可能となります。

.NETアセンブリは最終ペイロードをBase64形式でダウンロードし、復号化した後、正規のプロセスであるMSBuildのコンテキスト内で実行します。この最終ペイロードはXWormであり、データ窃取やリモート制御のための広範な機能を備えた、よく知られたリモートアクセス型トロイの木馬（RAT）です。

過去数四半期にわたり、攻撃者はマルウェアを配信する手段としてScalable Vector Graphics(SVG)ファイル(T1027.017)をますます多用する傾向にあります。[7] 第2四半期においてもこの傾向は継続し、脅威アクターはSVG添付ファイルに悪意のあるコードを埋め込むことで、Eメールゲートウェイのスキャナーを巧みに回避することに成功しました。これらのファイルは、HP Sure Clickにより、請求書通知を装ったEメールを用いたィッシングキャンペーンで検知されました。

SVGファイルは通常、Webブラウザでレンダリングされ、HTMLドキュメントと同様の挙動を示します。これにより、攻撃者は標準的なWeb技術を悪用することが可能となります。例えば、JavaScriptの埋め込みや、攻撃者が管理するサーバー上にホストされた外部リソースへの参照などが挙げられます。

これらの攻撃では、攻撃者は単独では悪意のない極めて小さなSVGファイルを配布しました。代わりに、マルウェアにつながる外部JavaScriptを参照していました。ブラウザで開くと、このSVGはAdobe Acrobat Readerのインターフェースを精巧に模倣した表示を行い、偽のドキュメントアップロードアニメーションや徐々に埋まっていくローディングバーを備えており、正当なWebアプリケーションであるかのような印象を与えました。偽のアップロードが「完了」すると、ダウンロードボタンが表示され、ユーザーに請求書を取得するよう促します。ボタンをクリックすると、外部URLへのバックグラウンドリクエストがトリガーされ、ZIPアーカイブが配信されます。

自動解析を回避し、検知を遅延させるため、攻撃者はジオフェンシングを用いてダウンロードを特定の地域に制限しました(T1627.001)。[17] このケースでは、フィッシングメールと添付ファイルはドイツ語で作成されており、ダウンロードはドイツ語圏の国々に限定されているようでした。また、バックエンドもユーザーの所在地に応じて、わずかに異なるアーカイブファイルを提供していました。

ダウンロードされたZIPアーカイブには、文字列置換(T1027.013)によって難読化されたJavaScript(T1059.007)ファイルが含まれていました。[8][18] マルチステージのマルウェアキャンペーンと異なり、このスクリプトは直ちに攻撃者に感染システムに対する基本的な制御を付与します。

実行時、このスクリプトは：

• 自身をAppDataディレクトリに複製し再起動します。
•  WindowsレジストリからプロダクトIDやコンピュータ名などのシステム情報を収集します。
•  一意の識別子を生成し、攻撃者が制御するリモートサーバーへ送信します。

サーバーはステータスメッセージとローカルで実行するコマンドを返します。通常、最初のコマンドは永続性を確立するためにレジストリのエントリを追加します。

その後、スクリプトはループに入り、軽量なリバースシェルとして機能します。おおよそ1分ごとに攻撃者のサーバーに接続し、新しいコマンドを受信してローカルで実行し、結果をPOSTリクエストで送信します。これにより、データを効果的に外部に持ち出します。

このビーコン送信は、攻撃者が第二ステージのペイロードを投入するか、セッションを終了するまで継続されます。

このJavaScriptベースのマルウェアは、その簡素さにもかかわらず、攻撃者に十分な制御を提供します。これにより、攻撃者は完全な機能を備えたRATに依存することなく、任意のコマンドを実行し、感染したシステムの価値を評価し、追加のマルウェアをダウンロードして導入することが可能となります。

このキャンペーンは、非常にリアルで洗練されたソーシャルエンジニアリングが特徴的です。静止画像に依存する典型的なフィッシング攻撃とは異なり、攻撃者はアニメーション化されたSVGファイルを使用し、Adobe Acrobatを巧妙に模倣しています。

第2四半期において、HP Sure Clickによってブロックされた脅威の8%がPDFドキュメントに起因しており、この形式はマルウェア攻撃において最も頻繁に利用される形式の一つであり続けています。このケースでは、攻撃者はPDFファイルを添付したフィッシングメールを潜在的な被害者に送信しました。このPDFを開くと、古典的なソーシャルエンジニアリングの手口が用いられており、背景にはぼやけた請求書が表示され、前景にはダウンロードボタンが表示されていました。

このボタンをクリックすると、Webブラウザが開き、ファイルホスティングサービスからZIPアーカイブがダウンロードされます。アーカイブ内には、Visual Basic Encoded(VBE)スクリプト(T1059.005)が含まれています。これはVBScriptの一種で、容易な読解や改変を防ぐために難読化が施されています。[13]

感染を進めるには、ユーザーが手動でVBEスクリプトを解凍し実行する必要があります。実行されると、スクリプトはHKEY_CURRENT_USER\SOFTWARE配下に複数の新規レジストリキーを作成します。この際、カスタムサブキー（本ケースでは"VCpsizvuPBQRDye"）が使用されます。

これらのレジストリキーは感染チェーンの中核をなします。"instant"という名前のキーには、VBEスクリプトによって実行されるPowerShellスクリプト(T1059.001)が含まれています。[5] このPowerShellスクリプトは、長いBase64エンコード文字列を含む別のレジストリキーを読み取り、それを逆変換し、バイナリファイルとして復号します。このバイナリは.NETアセンブリであるため、PowerShellはリフレクティブローディング(T1620)を用いて直接メモリにロードすることが可能です。これによりディスクへの書き込みを回避し、検知の可能性を低減します。[16]

読み込まれたバイナリは、レジストリキーの名前を引数として渡す関数を呼び出します。このキーには長い16進数の文字列が含まれており、これが別の.NET実行ファイルにデコードされます。この2つ目の実行ファイルは、最終的なマルウェアペイロードをデコードし、新たに生成された正規のプロセスであるAddInProcess32.exe（ネイティブの.NET Frameworkバイナリ）に注入する役割を担っています。

最終的なペイロードであるMassLoggerは、複数のレジストリサブキーに分散して格納されています。[19] このバイナリはこれらの値を読み取り、単一の16進数文字列に連結した後、デコードを行い、プロセスへの注入を実行します。

MassLoggerは、.NETベースの認証情報スティーラーで、キーストロークの記録、クリップボードデータの取得、ブラウザやメッセージングアプリからの認証情報の抽出が可能です。

場合によっては、MassLoggerだけが展開されるペイロードではありません。インストール後、インジェクタ ーはシステムチェックを実行します。特に、オペレ ーティングシステムの言語がフランス語で、ロケーソ がフランス(T1627.001)に設定されている場合、インジェクターは追加のペイロードであるModiRATをダウンロードし展開します。[17][20]

第2四半期において、Lumma Stealerは我々が観測したマルウェアファミリーの中でも特に活発な活動を見せたものの一つとなりました。[9] キャンペーンの規模の大きさだけでなく、そのオペレーターはマルウェアを拡散させるために多様な配布手法を採用しました。特に注目すべきキャンペーンの一つでは、マルウェアがフィッシングメールに添付されたIMGアーカイブ内に埋め込まれていました。

その名称にもかかわらず、IMGファイルは画像ではなく、データを保存できるアーカイブ形式の一種です。ユーザーがこのような添付ファイルを開くと、Windowsは自動的にディスクイメージを仮想ドライブとしてマウントし、その内容をフォルダ内に表示します。この仕組みにより、攻撃者はディスクイメージ内に悪意のあるファイルを隠蔽しつつ、Windowsの組み込み機能を利用して展開し、ユーザーに表示することが可能となります。

本キャンペーンでは、ディスクイメージにHTMLアプリケーション（HTA）ファイルが含まれており、そのファイル名により請求書に見せかけていました。HTAファイルはHTMLおよびスクリプトコードを実行する形式です。デフォルトでは、Windows は mshta.exeツールを使用して HTA ファイルを開きます(T1218.005)。[10]  ユーザーがテキストエディタでファイルを検査しようとすると、埋め込まれたスクリプトは長い空白文字列の列の背後に隠され、簡易的な分析を回避します。

mshta経由で実行されると、スクリプトはPowerShell (T1059.001)コマンドをコンパイルし実行します。このコマンドはエンコードされた引数として新しいPowerShellプロセスに渡され、そのプロセスが事前に定義されたURLから実行ファイルをダウンロードします。ダウンロードされたファイルはユーザーのAppDataディレクトリに保存され実行されます。

この実行ファイルは、オープンソースのインストーラー作成ツールであるNullsoft Scriptable Install System(NSIS)を使用して構築されたWindowsインストーラーです。これは、埋め込まれたマルウェアを解凍および実行するように設計されたカスタムインストールスクリプトを実行します。最初に、スクリプトはAppData\Local内の新しいフォルダーにその内容を解凍します。その後、様々なファイルパスを参照する複数のレジストリキーを作成し、多数の存在しないファイルを開こうとします。これはおそらく、解析者を欺くことを意図している可能性があります。

最後に、NSISインストーラーは別のPowerShellコマンドを起動し、ローカルのAppDataフォルダからドロップされたファイルを実行します。このPowershellスクリプトは若干難読化されています(T1027.013)。[8] その主な目的は、様々なWindows API関数の解決、メモリの割り当て、ドロップされたファイルからのバイナリデータの読み取り、新しいメモリセクションへの書き込み、そしてコードとしての実行です。今回のケースでは、PowerShellスクリプトはCallWindowProcAを使用し、指定されたメモリセクションに書き込まれ関数たシェルコードを実行します。[21]

CallWindowProcA関数は、2つのメモリセクションと共に起動されます。1つは初期シェルコードを含み、もう1つは圧縮されたデータ(T1027.002)22を保持しています。その後、シェルコードはこのデータをメモリセクションに展開し、実行コードを形成します。複数の解凍ステージを経て、最終的なペイロードであるLumma Stealerが配置され実行されます。

2025年5月、国際的な法執行機関およびセキュリティチームは、Lumma Stealerの全世界的なテイクダウン（排除作戦）を連携して実施いたしました。[23]

本作戦はマルウェアのインフラを標的とし、数千のドメインを押収またはリダイレクトするとともに、C&Cサ ーバーを無効化しました。この取り組みにより、このツールの可用性が大幅に阻害され、何十万もの侵害シ ステムからログイン認証情報、ブラウザデータ、仮想通貨ウォレット情報を窃取するために利用していたサイバー犯罪者の活動を妨げることができました。

テイクダウンにもかかわらず、キャンペーンは6月も継続され、そのオペレーターらはインフラの再構築を開始しています。

前述のキャンペーンが示したように、SVGファイルはサイバー犯罪者がエンドポイントにマルウェアを密かに送り込む手段として広く利用されるようになりました。さらに、HTMLファイルを利用した手法も増加傾向にあります。

ファイルを添付しました。このファイルが開かれると、Webブラウザに表示されます。ページには背景にぼやけた見積依頼書が表示され、その上にこのドキュメントは保護されており、ダウンロードの準備が整っていますというメッセージが重ねて表示されます。

ユーザーがボタンをクリックすると、ZIPアーカイブが解凍されPCにダウンロードされます。アーカイブ内にはショートカットファイル（LNK）が含まれており、PDFドキュメントに見せかけてユーザーに開かせるよう仕組まれています。しかしPDFが開かれる代わりに、このショートカットは埋め込まれたコードを実行し、感染チェーンを継続させます。

悪意のあるコードは、ショートカットのターゲットフィールドに埋め込まれています(T1204.002)。[24] 実行されると、PowerShell(T1059.001)プロセスを起動し、指定されたURLからファイルをダウンロードします。5このURLはGIF画像を指しているように見えますが、実際にはBase64エンコードされたテキストファイルを配信します(T1027.013)。[18]

このファイルはPowerShellコマンドによって復号化され、ProgramDataディレクトリ内に"CHROME.PIF"として保存されます。その後、実行されます。Program Information Files (PIF)は、もともと古いWindowsシステムにおいてアプリケーション設定を定義するために使用されていましたが、現代のWindowsバージョンでは実行ファイルとして扱われます。[25] PIFファイルは現在ではあまり使用されていないため、ユーザーの警戒心をあまり引き起こさず、効果的な偽装手段となります。

実行されたPIFは、本キャンペーンにおける最終的なペイロードとして動作し、被害者のシステムにRemcos RATをインストールします。[26] Remcosは、攻撃者が感染したマシンを密かに制御することを可能にするリモートアクセス型トロイの木馬です。監視、データ窃取、リモートコマンド実行など、幅広い悪意のある機能をサポートしています。

HP Wolf Security 脅威インサイトレポートは、ほとんどのお客様が脅威のテレメトリをHPと共有することを選択することによって実現されています。当社のセキュリティ専門家は、脅威の傾向や重要なマルウェアキャンペーンを分析し、洞察を注釈したアラートをお客様にフィードバックしています。

HP Wolf Security の導入を最大限に活用するために、お客様には以下のステップを踏むことをお勧めします。[a]

• HP Wolf Security ControllerでThreat Intelligence ServicesとThreat Forwardingを有効にし、MITRE ATT&CKのアノテーション、トリアージ、専門家による分析を受けることができるようにしてください。[b] 詳細については、ナレッジベースの記事をご覧ください。[27][28]
•  HP Wolf Security Controllerを最新の状態に保ち、新しいダッシュボードとレポートテンプレートを受け取ることができるようにしてください。最新のリリースノートとソフトウェアのダウンロードは、カスタマーポータルでご覧ください。[29]
• HP Wolf Securityのエンドポイントソフトウェアをアップデートし、当社の研究チームが追加した脅威アノテーションルールを常に最新に保ってください。

HP Threat Research チームは、セキュリティチームが脅威から身を守るために役立つ 侵害の痕跡 (IOC) やツールを定期的に公開しています。これらのリソースは、HP Threat Research GitHub リポジトリからアクセスできます。[30] 最新の脅威に関する調査については、HP WOLF SECURITY ブログ[31] にアクセスしてください。

企業は、ユーザーがEメールの添付ファイルを開いたり、Eメール内のハイパーリンクをクリックしたり、Webからファイルをダウンロードすることに対して最も脆弱です。HP Wolf Securityは、リスクの高いアクティビティをマイクロVMに隔離し、ホストコンピュータがマルウェアに感染したり、企業ネットワークに広がったりしないようにすることで企業を保護します。HP Wolf Securityは、イントロスペクションを使用して豊富なフォレンジックデータを収集し、お客様のネットワークが直面する脅威を理解し、インフラストラクチャを強化できるよう支援します。HP Wolf Security 脅威インサイトレポートは、当社の脅威研究チームが分析した注目すべきマルウェアキャンペーンを紹介し、お客様が新たな脅威を認識し、環境を保護するために行動を起こすことができるようにします。

HP Wolf Securityは、新しいタイプ[c] のエンドポイントセキュリティです。HPのハードウェアで強化されたセキュリティとエンドポイントに特化したセキュリティサービスのポートフォリオは、組織がPC、プリンター、そして人々をサイバー犯罪者から守るために設計されています。HP Wolf Security は、ハードウェアレベルからソフトウェアやサービスに至るまで、包括的なエンドポイントの保護とレジリエンスを提供します。

[1] https://hp.com/wolf

[2] https://lolbas-project.github.io/

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.xworm

[4] https://attack.mitre.org/techniques/T1027/003/

[5] https://attack.mitre.org/techniques/T1059/001/

[6] https://attack.mitre.org/techniques/T1027/001/

[7] https://attack.mitre.org/techniques/T1027/017/

[8] https://attack.mitre.org/techniques/T1059/007/

[9] https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma

[10] https://attack.mitre.org/techniques/T1218/005/

[11] https://attack.mitre.org/techniques/T1218/001/

[12] https://en.wikipedia.org/wiki/Cabinet_(file_format)

[13] https://attack.mitre.org/techniques/T1059/005/

[14] https://attack.mitre.org/techniques/T1059/003/

[15] https://attack.mitre.org/techniques/T1608/001/

[16] https://attack.mitre.org/techniques/T1620/

[17] https://attack.mitre.org/techniques/T1627/001/

[18] https://attack.mitre.org/techniques/T1027/013/

[19] https://malpedia.caad.fkie.fraunhofer.de/details/win.masslogger

[20] https://malpedia.caad.fkie.fraunhofer.de/details/win.modirat

[21] https://learn.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-callwindowproca

[22] https://attack.mitre.org/techniques/T1027/002/

[23] https://www.europol.europa.eu/media-press/newsroom/news/europol-and-microsoft-disrupt-world%E2%80%99s-largest-infostealer-lumma

[24] https://attack.mitre.org/techniques/T1204/002/

[25] https://en.wikipedia.org/wiki/Program_information_file

[26] https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos

[27] https://enterprisesecurity.hp.com/s/article/Threat-Forwarding

[28] https://enterprisesecurity.hp.com/s/article/HP-Threat-Intelligence

[29] https://enterprisesecurity.hp.com/s/

[30] https://github.com/hpthreatresearch/

[31] https://threatresearch.ext.hp.com/blog

a. HP Wolf Enterprise Securityはオプションサービスで、HP Sure Click EnterpriseやHP Sure Access Enterpriseなどが該当します。HP Sure Click Enterpriseは、Windows 10が必要で、Microsoft Internet Explorer、Google Chrome、ChromiumまたはFirefoxに対応しています。Microsoft OfficeまたはAdobe Acrobatがインストールされている場合、サポートされている文書には、Microsoft Office（Word、Excel、PowerPoint）およびPDFファイルが含まれます。HPSure Access Enterpriseには、Windows 10 ProまたはEnterpriseが必要です。HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件による影響を一切受けません。完全なシステム要件については、以下を参照ください。 www.hpdaas.com/requirements

b. HP Wolf Security Controllerは、HP Sure Click EnterpriseまたはHP Sure Access Enterpriseが必要です。HP Wolf Security Controllerは、デバイスやアプリケーションに関する重要なデータを提供する管理・分析プラットフォームで、スタンドアロンサービスとしては販売していません。HP Wolf Security Controllerは、厳格なGDPRプライバシー規制に従っており、情報セキュリティに関してISO27001、ISO27017、SOC2 Type2の認証を受けています。HPクラウドへの接続が可能なインターネットアクセスが必要です。完全なシステム要件については、以下を参照ください。www.hpdaas.com/requirements

c. HP SecurityはHP Wolf Securityになりました。セキュリティ機能はプラットフォームによって異なりますので、詳細は製品データシートをご覧ください。

HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件にによる影響を一切受けません。

 © Copyright 2022 HP Development Company, L.P. ここに記載されている情報は、予告なく変更されることがあります。HP の製品およびサービスに関する唯一の保証は、当該製品およびサービスに付随する明示的な保証書に記載されています。本書のいかなる内容も、追加的な保証を構成することは一切ありません。 HP は、本書に含まれる技術的または編集上の誤りや脱落について責任を負いません。

Author : HP WOLF SECURITY

監訳：日本HP