脅威インテリジェンス企業The DFIR ReportとProofpointは2025年7月14日、Interlockランサムウェアグループが開発したPHPベースの新しいリモートアクセス型トロイの木馬(RAT)亜種に関する調査結果を発表した。
この新亜種は従来のJavaScriptベースからPHPへと技術的転換を図り、2025年5月以降にKongTuke(別名LandUpdate808)と呼ばれるWeb-inject脅威クラスターで使用され、2025年6月にPHP亜種が出現した。
攻撃手法は、正規Webサイトに悪意のある単一行スクリプトを注入し、訪問者に偽のCAPTCHA認証後、Windowsファイルエクスプローラーのアドレスバーに悪意のあるPowerShellコマンドを貼り付けさせるFileFix手法を使用する。
実行後、RATはsysteminfoやtasklistなどのPowerShellコマンドでシステム情報を収集し、Cloudflareトンネルサービスのtrycloudflare.comドメインを悪用してC2通信を確立する。
攻撃者はRDPを使用した横展開と永続化を実行し、標的は米国の複数業界に及ぶ機会主義的攻撃である。
From: 
Web-Inject Campaign Debuts Fresh Interlock RAT Variant
【編集部解説】
Interlockランサムウェアグループが従来のJavaScript/Node.jsベースからPHPベースへと移行した背景には、戦略的な狙いがあります。PHPは世界中のWebサーバーで広く使用されているスクリプト言語であり、システム管理者にとって「見慣れた存在」です。
この特性を悪用することで、攻撃者はより目立ちにくい形でマルウェアを潜伏させることが可能になりました。従来のNode.jsベースのマルウェアと比較して、PHPベースのバックドアは検出がより困難とされています。
FileFix攻撃手法の巧妙さ
今回の攻撃で使用されたFileFix手法は、従来のClickFixの進化版として注目されています。ClickFixが偽のCAPTCHA認証やダイアログボックスを表示するのに対し、FileFixはWindowsファイルエクスプローラーのアドレスバーに直接PowerShellコマンドを貼り付けさせる点が革新的です。
被害者は「共有ファイルを開く」という日常的な操作と錯覚させられ、実際にはファイルパスではなく悪意のあるコマンドを実行してしまいます。この手法の巧妙さは、ユーザーが普段慣れ親しんでいる操作を模倣している点にあります。
Cloudflareトンネルの悪用が示す課題
攻撃者がCloudflareトンネルサービスを悪用している点は、正規のクラウドサービスがサイバー攻撃に転用されるリスクを浮き彫りにしています。trycloudflare.comドメインを使用することで、攻撃者は暗号化された通信チャネルを確立し、従来のネットワークセキュリティ対策を回避できます。
これは2024年以降急速に拡大している攻撃手法であり、複数のランサムウェアグループが同様の手法を採用しています。
機会主義的攻撃の影響範囲
今回の攻撃が「機会主義的」と評価されている点も重要です。特定の業界や組織を狙うのではなく、脆弱性のある環境に対して幅広く攻撃を仕掛ける手法は、被害の予測と対策を困難にします。
この手法により、攻撃者は効率的に多数の標的を確保し、その中から価値の高いデータやシステムを選別できるようになりました。
防御側への示唆
組織にとって重要なのは、Win+Rキーの組み合わせを制限する、RDPアクセスを認証されたユーザーのみに限定する、多要素認証を徹底するなどの対策です。
特に、従来のシグネチャベースの検出では対応が困難な攻撃手法であるため、行動分析やゼロトラスト原則に基づく防御戦略の重要性が高まっています。
今後の展望と課題
PHPベースのマルウェアの台頭は、従来のJavaScriptベースの脅威と並行して、攻撃者のツールキットがより多様化していることを示しています。この傾向は、防御側にとってより複雑な対策が求められることを意味します。
また、正規のクラウドサービスを悪用する攻撃手法の増加は、サービスプロバイダーと企業の両方にとって新たな課題を提起しています。合法的なサービスと悪意のある利用を区別する技術の開発が、今後の重要な課題となるでしょう。
【用語解説】
RAT(Remote Access Trojan)
リモートアクセス型トロイの木馬。攻撃者が被害者のコンピューターを遠隔操作できるマルウェアの一種である。
Web-inject攻撃
正規のWebサイトに悪意のあるスクリプトを注入し、訪問者のブラウザ上でマルウェアを実行させる攻撃手法である。
FileFix攻撃
ClickFixの進化版で、共有ファイルへのアクセスを装い、WindowsファイルエクスプローラーのアドレスバーにPowerShellコマンドを貼り付けさせる攻撃手法である。
KongTuke(別名:LandUpdate808)
2025年5月頃から活発化した大規模なWeb注入攻撃キャンペーンで、侵害されたWebサイトを通じてマルウェアを配布する仕組みである。
NodeSnake
Interlockランサムウェアグループが開発したJavaScript/Node.jsベースのRAT初期バージョンの名称である。
二重恐喝(Double Extortion)
データを暗号化するだけでなく、機密情報を窃取して公開すると脅迫する手法で、身代金支払いの圧力を高める戦術である。
C2(Command and Control)
マルウェアが攻撃者の指示を受け取り、盗んだ情報を送信するための通信インフラである。
PowerShell
Microsoftが開発したコマンドラインシェルおよびスクリプト言語で、システム管理に使用されるが、攻撃者にも悪用される。
RDP(Remote Desktop Protocol)
マイクロソフトが開発したリモートデスクトップ接続プロトコルで、遠隔地からコンピューターを操作できる。
TDS(Traffic Distribution System)
トラフィック配信システム。複数のマルウェア配信サイトへユーザーを誘導するインフラである。
【参考リンク】
The DFIR Report(外部)
デジタルフォレンジックと脅威インテリジェンスの専門企業で、実際の侵入事例を分析し、詳細な技術レポートを提供している。
Proofpoint(外部)
米国カリフォルニア州に本社を置く企業向けセキュリティ企業で、電子メールセキュリティや脅威インテリジェンスサービスを提供している。
Cloudflare(外部)
CDN、DDoS保護、インターネットセキュリティサービスを提供するクラウドプラットフォーム企業である。
【参考記事】
KongTuke FileFix Leads to New Interlock RAT Variant(外部)
元の技術レポート。InterlocK RAT PHP亜種の詳細な技術分析とIOCを含む包括的な調査報告。
New PHP-Based Interlock RAT Variant Uses FileFix Delivery(外部)
FileFix攻撃メカニズムとPHP亜種の技術的特徴について詳細に解説している。
New Interlock RAT Variant Distributed via FileFix Attacks(外部)
FileFix攻撃手法とCloudflareトンネルの悪用について詳細に説明している。
Interlock ransomware group deploys new PHP-based RAT via FileFix(外部)
Interlock RAT PHP亜種の配布メカニズムと攻撃段階について解説している。
【編集部後記】
今回のInterlockランサムウェアグループの新亜種について、皆さんはどのような印象を持たれましたでしょうか?PHPという身近な技術がサイバー攻撃に転用される現実を目の当たりにして、私たちの日常とサイバーセキュリティの距離感について改めて考えさせられました。
特に興味深いのは、攻撃者が「見慣れた技術」を狙い撃ちしている点です。皆さんの組織では、普段使っているツールやサービスがどのように悪用される可能性があるか、チーム内で議論されたことはありますか?また、正規のクラウドサービスが攻撃インフラとして使われることについて、どのような対策が考えられるでしょうか?
この分野の最新動向について、ぜひ皆さんのご意見や体験もお聞かせください。
