HPは1月16日(米国時間)、「HP Wolf Security Threat Insights Report: January 2025|HP Wolf Security」において、2025年1月の脅威インサイトレポートを公開した。

このレポートでは2024年第3四半期にHPの顧客テレメトリーから特定されたマルウェアキャンペーン、傾向、手法について解説している。

  • HP Wolf Security Threat Insights Report: January 2025|HP Wolf Security

    HP Wolf Security Threat Insights Report: January 2025|HP Wolf Security

注目すべきマルウェアキャンペーン

HPの調査により特定された、注目すべきマルウェアキャンペーンは次のとおり。

インターネットアーカイブとステガノグラフィ技術を悪用した攻撃

HPは調査期間中、2つのマルウェア配布キャンペーンを特定した。どちらの攻撃もステガノグラフィ技術を悪用して画像に悪意のあるコードを隠蔽し、この画像をインターネットアーカイブ「archive.org」に保存させる手法が用いられていた。

初期の侵害経路は悪意のあるメールとされる。メールにはExcelファイルなどが添付されており、テンプレートインジェクション攻撃により悪意のあるスクリプトを実行させ、最終的にマルウェアを配布した(参考:「MicrosoftWordのテンプレートを悪用する攻撃が怖い、注意を | TECH+(テックプラス)」)。

悪意のあるスクリプトにはインターネットアーカイブから画像ファイルをダウンロードし、マルウェアローダーをデコードする機能があるとされる。この手法を使用すると、正規のWebサイトから正常に見える画像ファイルがダウンロードされるため、セキュリティソリューションの検出を回避できるという。

レポートによるとインターネットアーカイブに保存された悪意のある画像ファイルは、約29,000回ダウンロードされた。

  • インターネットアーカイブに保存された悪意のある画像の例 - 引用:HP

    インターネットアーカイブに保存された悪意のある画像の例 引用:HP

HTMLスマグリングキャンペーンと生成AI

HPは調査期間中、HTMLスマグリングキャンペーンを阻止した。攻撃者はHTMLファイルに遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「XWorm」を隠蔽し、標的にHTMLファイルを開かせることで感染させようとした。

この攻撃ではHTMLファイルから生成AI悪用の痕跡が確認されている。脅威アクターは生成AIを悪用することで、攻撃の規模と質を高めようとしたものと推測されている。

  • 攻撃に使用されたHTMLファイルの表示画面(左)と、ChatGPT-4oが生成したファイルダウンロードHTMLファイルの表示画面(右) - 引用:HP

    攻撃に使用されたHTMLファイルの表示画面(左)と、ChatGPT-4oが生成したファイルダウンロードHTMLファイルの表示画面(右) 引用:HP

悪意のあるメールに警戒を

レポートでは初期の感染経路として、悪意のある電子メールの利用が1位(約52%)だと指摘している。また、そのうち少なくとも約11%が1つ以上の電子メールゲートウェイスキャナーを回避したとされる。

脅威アクターは生成AIの積極的な悪用を始めており、攻撃の高度化、影響の広範囲化が進む傾向にある。これまで不自然な日本語が使用されていたことで回避できていた不審なメールも、今後は自然な日本語が使用されるようになり、読んだだけで回避することは困難になっていくものと推測される。

インターネットを利用するすべてのユーザーには、定期的に最新の脅威レポートを閲覧して最新の攻撃手法を学び、そこから回避する術を身につけることが望まれる。