サイバーセキュリティの世界では、攻撃者と防御者の間で絶え間ないイタチごっこが続いています。2020年から活動を続けるJavaScriptベースのマルウェアローダー「GootLoader」が、またしても進化を遂げました。今回明らかになったのは、500〜1,000個のZIPアーカイブを連結するという、これまでにない斬新な検知回避手法です。この手法により、一般的なアンチウイルスソフトやセキュリティツールによる検出を効果的にすり抜けることが可能になっています。本記事では、GootLoaderの最新の攻撃手法を詳しく解説し、組織として講じるべき防御策について深掘りしていきます。
この記事のポイント
- GootLoaderは500〜1,000個のZIPファイルを連結して検知を回避する新手法を採用
- WinRARや7-Zipでは展開できないが、Windows標準の展開機能では処理可能という盲点を突く
- SEOポイズニングやマルバタイジングで「法的テンプレート」を検索するユーザーを標的に
- wscript.exeとcscript.exeの実行制限がもっとも効果的な防御策
GootLoaderとは何か?その歴史と進化
GootLoaderは2020年に初めて確認されたマルウェアローダーで、主にランサムウェアや情報窃取マルウェアの配布に使用されています。「ローダー」という名前が示すとおり、GootLoader自体は直接的な破壊活動を行うのではなく、他のマルウェアをダウンロードして実行するための「入口」として機能します。攻撃者にとって、ローダーは非常に重要なツールです。なぜなら、最初の侵入さえ成功すれば、その後は状況に応じて様々なマルウェアを追加で送り込むことができるからです。
GootLoaderの特徴は、その配布方法にあります。攻撃者はSEO(検索エンジン最適化)ポイズニングという手法を使い、Googleなどの検索結果で悪意あるサイトを上位に表示させます。特に「契約書テンプレート」「法的文書フォーマット」といったビジネス関連の検索クエリをターゲットにしており、企業の法務担当者や人事担当者が標的になりやすいのです。ダウンロードされたファイルは一見すると正規の文書に見えますが、実際にはJavaScriptコードが含まれており、ユーザーがファイルを開くとマルウェアが実行されます。
連結ZIPアーカイブによる検知回避の仕組み
今回発見された新しい検知回避手法は、「連結アーカイブ」と呼ばれるテクニックを極端なレベルまで押し進めたものです。通常、ZIPファイルは単一のアーカイブとして作成されますが、技術的には複数のZIPファイルを1つのファイルに連結することが可能です。GootLoaderは、この仕様を悪用して500〜1,000個という膨大な数のZIPアーカイブを連結したファイルを生成します。
なぜこの手法が効果的なのでしょうか?それは、アーカイブ処理ツールによって連結ZIPの扱いが異なるからです。WinRARや7-Zipといった広く使われているツールは、連結されたアーカイブを正しく処理できず、エラーを発生させるか、最初または最後のアーカイブのみを展開します。一方、Windows標準の「圧縮フォルダー」機能は、連結されたすべてのアーカイブを適切に処理できます。攻撃者はこの挙動の違いを利用して、セキュリティ製品による検査を回避しつつ、実際のユーザー環境では正常に動作するマルウェアを配布しているのです。
さらなる難読化テクニック
連結ZIPアーカイブに加えて、GootLoaderは複数の難読化テクニックを組み合わせています。まず、EOCD(End of Central Directory)レコードの改ざんがあります。ZIPファイルの末尾にあるこのレコードは、アーカイブの構造情報を含んでいますが、GootLoaderはここから重要なバイトを削除します。これにより、標準的なZIP解析ツールはファイルを正しく読み取れなくなります。
また、「ハッシュバスティング」と呼ばれる手法も使用されています。これは、各被害者に対してユニークなZIPファイルを生成する手法です。ファイル内の非重要なフィールド(コメント欄やタイムスタンプなど)をランダムに変更することで、ファイルのハッシュ値が毎回異なるものになります。セキュリティ製品の多くは、既知のマルウェアのハッシュ値をブラックリストに登録していますが、この手法によりハッシュベースの検知を無効化できるのです。
さらに、2025年10月以降のキャンペーンでは、カスタムWOFF2フォントを使用したグリフ置換という新しい手法も確認されています。これは、JavaScriptコードを特殊なフォントで表示し、人間の目には読み取りにくくするテクニックです。
感染後の動作とペイロード配信
ユーザーが悪意あるZIPファイルを展開し、中のJavaScriptファイルを実行すると、感染プロセスが開始されます。まず、JavaScriptコードはWindowsのスタートアップフォルダにショートカットファイルを作成します。これにより、システムを再起動しても永続的にマルウェアが動作し続けます。次に、PowerShellコマンドを生成・実行し、攻撃者のサーバーから二次ペイロードをダウンロードします。
配信されるペイロードは状況によって異なりますが、多くの場合はランサムウェアです。GootLoaderは過去に、REvil、Egregorといった著名なランサムウェアグループと関連があることが報告されています。ランサムウェア以外にも、Cobalt Strikeのようなポストエクスプロイトフレームワークや、情報窃取マルウェアが配信されることもあります。
実践してみよう
組織を保護するために、以下の対策を実施することを強く推奨します。
# グループポリシーでJavaScriptファイルの既定アプリケーションをメモ帳に変更
# (管理者権限のPowerShellで実行)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.js" -Name "Application" -Value "notepad.exe"
# wscript.exe と cscript.exe の実行をブロック(AppLockerポリシー例)
# 以下のXMLをAppLockerポリシーに追加
<FilePathRule Id="..." Name="Block wscript.exe" Description="Downloaded content execution" Action="Deny" UserOrGroupSid="S-1-1-0">
<Conditions>
<FilePathCondition Path="%SYSTEM32%\wscript.exe"/>
</Conditions>
</FilePathRule>
# ダウンロードフォルダからのスクリプト実行を監視するイベントログクエリ
Get-WinEvent -FilterHashtable @{LogName='Security';Id=4688} | Where-Object {$_.Properties[5].Value -match 'wscript|cscript' -and $_.Properties[5].Value -match 'Downloads'}
これらのコマンドにより、JavaScriptファイルが誤って実行されることを防ぎ、不審なスクリプト実行を検知できます。特にwscript.exeとcscript.exeの実行制限は、GootLoaderに限らず多くのスクリプトベースのマルウェアに対して有効です。
セキュリティTips
-
従業員教育を徹底する: 「法的テンプレート」や「契約書フォーマット」を検索する際は、公式サイトや信頼できるソースからダウンロードするよう周知しましょう。検索結果の上位に表示されるからといって安全とは限りません。
-
ダウンロードファイルの検疫を実施する: ZIPファイルをダウンロードした場合、直接展開せずにサンドボックス環境で内容を確認することを推奨します。Windows Sandboxを活用すれば、隔離された環境で安全にファイルを検査できます。
-
EDRソリューションの導入を検討する: 従来のアンチウイルスでは検知が難しい高度な脅威に対応するため、EDR(Endpoint Detection and Response)ソリューションの導入が効果的です。PowerShellの不審な動作やC2通信を検知できます。
-
ネットワークセグメンテーションを実施する: 万が一感染した場合の被害を最小限に抑えるため、ネットワークを適切にセグメント化しておくことが重要です。
まとめ
GootLoaderの新しい連結ZIPアーカイブ手法は、攻撃者がいかに創造的にセキュリティ製品の盲点を突いてくるかを示す好例です。500〜1,000個のZIPファイルを連結するという、一見すると馬鹿げているとも思える手法ですが、ツール間の挙動の違いを巧みに利用することで、効果的な検知回避を実現しています。組織としては、技術的な対策(スクリプト実行の制限、EDRの導入)と人的な対策(従業員教育)を組み合わせた多層防御が求められます。特に、法務部門や人事部門など、業務で頻繁に外部文書をダウンロードする部署には重点的な注意喚起が必要でしょう。攻撃者は常に進化しています。わたくしたちも、最新の脅威動向を把握し、防御策を継続的にアップデートしていく必要があります。
📎 元記事: GootLoader Malware Uses 500–1,000 Concatenated ZIP Archives to Evade Detection
コメント