2025年4月に脅威アクターがGitHubの公開リポジトリを悪用してAmadeyマルウェアを配布するキャンペーンが発生した。
Cisco Talosの研究者Chris NealとCraig Jacksonが2025年7月17日に発表したレポートによると、攻撃者は偽のGitHubアカウント3つ(Legendary99999、DFfe9ewf、Milidmdds)を使用してAmadeyプラグイン、Lumma Stealer、RedLine Stealer、Rhadamanthys Stealerなどのペイロードをホストしていた。
攻撃チェーンはEmmenhtal(別名PEAKLIGHT)というマルウェアローダーを利用してAmadeyを配信し、Amadeyが脅威アクターの運営するGitHubリポジトリから各種カスタムペイロードをダウンロードする仕組みである。
この活動は2025年2月にウクライナ組織を標的としたSmokeLoaderキャンペーンと戦術的類似性を持つ。並行してTrellixは香港の金融機関を標的とするSquidLoaderキャンペーンを報告し、シンガポールとオーストラリアでも関連攻撃が進行中の可能性がある。
UNC5952グループはCHAINVERBダウンローダーを使用してConnectWise ScreenConnectソフトウェアを配信する攻撃を実行している。Cofenseの統計では2024年に高度なTTPを使用したキャンペーンの57%でQRコードが使用された。
From: 
Cisco Discloses ’10’ Flaw in ISE, ISE-PIC — Patch Now
【編集部解説】
GitHubを悪用した信頼基盤の脆弱性
今回の事案で最も注目すべきは、攻撃者がGitHubという「信頼されたプラットフォーム」を巧妙に悪用している点です。従来のマルウェア配布では、怪しげなドメインやファイル共有サイトが使われることが多く、企業のWebフィルタリングでブロックされやすい状況でした。しかし、GitHubは開発者にとって必須のプラットフォームであり、多くの企業環境で許可されているため、攻撃者にとって理想的な隠れ蓑となっています。
特に注目すべきは、攻撃者が単純にマルウェアをアップロードするだけでなく、偽のアカウントを作成し、一見正当なリポジトリを装って運用していることです。これにより、セキュリティ担当者による発見が困難になり、より長期間にわたる攻撃活動が可能となっています。
Amadeyマルウェアの拡張性と危険度
Amadeyマルウェアの最も危険な特徴は、その拡張性にあります。従来のマルウェアが固定的な機能を持つのに対し、AmadeyはDLLプラグインシステムを採用しており、攻撃者のニーズに応じて機能を追加・変更できる仕組みを持っています。
この柔軟性により、同一のマルウェアが情報窃取、スクリーンショット撮影、さらには過去の事例ではLockBit 3.0ランサムウェアの配布まで行うことが可能になっています。つまり、一度感染すれば、攻撃者は遠隔から追加の攻撃ツールを自由に展開できるのです。
MaaS(Malware-as-a-Service)の産業化が加速
今回の攻撃キャンペーンは、サイバー犯罪の「産業化」を象徴する事例でもあります。MaaS事業者は、技術的な専門知識を持たない犯罪者でも簡単にマルウェア攻撃を実行できるよう、インフラとツールをパッケージ化して提供しています。
このビジネスモデルの恐ろしさは、攻撃の民主化にあります。従来は高度な技術力を持つ限られた攻撃者しか実行できなかった複雑な攻撃が、今では「サービス」として購入できるようになっているのです。
地政学的な影響と攻撃の国際化
特に注目すべきは、この攻撃キャンペーンが地政学的な要素を含んでいることです。2025年2月のウクライナ組織を標的とした攻撃と戦術的類似性があることから、単なる金銭目的の犯罪を超えた側面があると考えられます。
さらに、香港、シンガポール、オーストラリアの金融機関を標的としたSquidLoaderキャンペーンが同時期に発生していることも、アジア太平洋地域における組織的なサイバー攻撃の存在を示唆しています。
企業セキュリティへの長期的インパクト
この攻撃手法の普及は、企業のセキュリティ戦略に根本的な見直しを迫るものです。従来の「信頼できるドメインの許可リスト」という考え方が通用しなくなりつつあります。
特に問題なのは、GitHubのような開発者向けプラットフォームをブロックすることは、現実的に不可能であることです。企業は、信頼されたプラットフォームからのダウンロードであっても、その内容を精査する新たなセキュリティ層を構築する必要があります。
技術的対策の限界と新たなアプローチ
今回の攻撃で使われているSquidLoaderは、稀薄な検出率を示し、多くの検出を回避する能力を持っています。これは、従来のシグネチャベースの検出手法の限界を示しており、行動分析やAIを活用した異常検知システムの重要性が増しています。
また、Cofenseの統計によると、2024年には高度なTTPを使った攻撃の57%でQRコードが使用されており、攻撃手法の多様化が加速していることも見逃せません。
規制と業界への影響
この種の攻撃の増加により、各国政府はプラットフォーム事業者に対してより厳格なコンテンツ監視を求める可能性があります。特に、GitHubのようなコード共有プラットフォームでは、悪意のあるコードの自動検出システムの強化が急務となるでしょう。
金融業界では、特にアジア太平洋地域において、より高度な脅威インテリジェンスの共有と、多層防御システムの構築が求められることになります。
今後の展望と対策の方向性
この攻撃トレンドは、サイバーセキュリティ業界に新たなパラダイムシフトを促しています。「信頼できるプラットフォーム」という概念が崩れつつある中、ゼロトラストの考え方がより重要になってきます。
企業には、すべてのダウンロードを検証し、エンドポイントでの異常な動作を監視する包括的なセキュリティ戦略の構築が求められます。また、従業員教育においても、「信頼できるサイトからのダウンロードであっても警戒する」という新たな意識の醸成が必要となるでしょう。
【用語解説】
MaaS(Malware-as-a-Service)
サービス型マルウェアの略称。犯罪者がマルウェアをサービスとして提供し、技術的知識のない悪意のある者でも簡単に攻撃を実行できるビジネスモデルである。
Emmenhtal(別名PEAKLIGHT)
マルウェアローダーの一種。他のマルウェアを配信するための配信ベクターとして機能し、二次ペイロードのダウンロードを担当する。
DLLプラグイン
動的リンクライブラリ(Dynamic Link Library)を利用した機能拡張システム。Amadeyマルウェアは、このプラグインシステムにより認証情報窃取やスクリーンショット取得などの特定機能を追加できる。
C2(Command and Control)サーバー
マルウェアが感染したデバイスから接続し、攻撃者からの指示を受信するためのサーバー。感染情報の送信や追加ペイロードの配信に使用される。
フィッシングキット
フィッシング攻撃を簡単に実行するためのツール集。偽のログインページの作成やクレデンシャル収集を自動化する機能を提供する。
CaaS(Cloaking-as-a-Service)
クローキング・アズ・ア・サービス。悪意のあるWebサイトをセキュリティスキャナーから隠蔽し、標的の被害者にのみ表示するサービス。
SEG(Secure Email Gateway)
セキュアメールゲートウェイ。企業のメールシステムを保護するため、受信メールをスキャンし、悪意のあるコンテンツを検出・ブロックするセキュリティソリューション。
TTP(Tactics, Techniques, and Procedures)
戦術、技術、手順の略称。サイバー攻撃者が使用する攻撃手法を体系的に分類・分析するためのフレームワーク。
UNC5952
金銭的動機を持つ脅威グループ。請求書テーマを利用したフィッシングメールでCHAINVERBダウンローダーを配布し、最終的にConnectWise ScreenConnectソフトウェアの配信を行う攻撃キャンペーンを実施している。
【参考リンク】
Cisco Talos Intelligence Group(外部)世界最大級の商用脅威インテリジェンスチーム。Cisco製品の脅威防御を担当
Trellix(外部)AI搭載の統合セキュリティプラットフォームを展開するサイバーセキュリティ企業
Cofense(外部)
3500万人以上のネットワークを活用したフィッシング対策の専門企業
ConnectWise ScreenConnect(外部)
クラウドまたはセルフホスト型のリモートデスクトップソリューション
【参考記事】
Threat Analysis: SquidLoader – Still Swimming Under the Radar(外部)
香港金融機関を標的とするSquidLoaderの詳細な技術分析レポート
Amadey Info Stealer and N-Day Vulnerabilities(外部)
2018年に発見されたAmadeyマルウェアの動作パターン分析
Amadey – Current botnet profiles(外部)
ドイツ連邦情報セキュリティ庁によるAmadeyマルウェアの公式プロファイル
Hackers Continue Exploiting ConnectWise ScreenConnect Tool(外部)
UNC5952グループのConnectWise ScreenConnect悪用攻撃の詳細解説
How Threat Actors Can Use GitHub Repositories to Deploy Malware(外部)
GitHubリポジトリを悪用したマルウェア配布手法の詳細分析
Malvertising campaign leads to info stealers hosted on GitHub(外部)
Microsoft検出のGitHub悪用マルバタイジングキャンペーンの分析
SquidLoader Malware Campaign Targets Hong Kong Financial Sector(外部)
香港金融セクターを標的とするSquidLoaderの多段階攻撃チェーン解説
Annual State of Email Security – Cofense(外部)
2024年メールセキュリティ状況の年次レポート。QRコード使用率などの統計
【編集部後記】
皆さんの職場では、GitHubからのダウンロードをどのように管理されていますか?今回の事案は、私たちが「当たり前に安全」と考えているプラットフォームの危険性を浮き彫りにしています。
特に開発チームや情報システム部門の方々にとって、これは他人事ではないはずです。もしかすると、皆さんの組織でも知らず知らずのうちに類似の脅威に晒されているかもしれません。
皆さんの組織では、信頼できるプラットフォームからのダウンロードに対して、どのような対策を講じていますか?ぜひSNSで、現場の声をお聞かせください。
