2025年第4四半期のウイルスレビュー

毎月ウィルスレビュー | 全てのニュース

2025年12月26日

Dr.Webアンチウイルスの検出統計によると、2025年第4四半期に検出された脅威の合計数は2025年第3四半期と比較して16.05%増加し、一方でユニークな脅威の数は1.13%減少しました。最も多く検出された脅威は、望ましくないアドウェアアプリ、悪意のあるスクリプト、そしてダウンローダやアドウェア型トロイの木馬を含むさまざまなマルウェアとなっています。

メールトラフィック内では、ダウンローダやパスワードスティーラー、ドロッパーなどのトロイの木馬アプリが最も多く検出されました。そのほか、エクスプロイト、バックドア、そしてさまざまな悪意のあるスクリプトも多く拡散されています。

最も多く検出された暗号化ランサムウェアは Trojan.Encoder.35534Trojan.Encoder.41868Trojan.Encoder.29750 となっています。

2025年10月、Doctor WebはメッセンジャーアプリTelegram Xの改変版に潜んで拡散されていた危険なバックドア Android.Backdoor.Baohuo.1.origin を発見しました。このバックドアはTelegramアカウントのログインIDとパスワードなどといった機密情報を窃取します。Android.Backdoor.Baohuo.1.origin を使用することで、脅威アクターはハッキングしたアカウントだけでなくメッセンジャーそのものを完全にコントロールすることができ、ユーザーに成り代わってさまざまな操作を実行することが可能です。

11月、Doctor Webのアンチウイルスラボはハッカー集団「Cavalry Werewolf」によるロシア政府機関を狙った標的型攻撃に関する調査レポートを公開しました。この調査において、Doctor WebのエキスパートはCavalry Werewolfが攻撃キャンペーンで使用していた多数の悪意のあるツールを特定することに成功しています。それらのツールにはオープンソースツールも含まれていました。また同調査レポートでは、ハッカー集団Cavalry Werewolfの特徴やこれらのサイバー犯罪者たちが侵害されたネットワーク内で実行する典型的なアクションについても解説しています。

12月には、Trojan.ChimeraWire と名づけられたユニークなマルウェアについて記事を公開しました。このマルウェアはWebサイトのボット対策機能にブロックされないよう人間になりすましてサイトの人気度を人為的に高めます。そのために、まず検索エンジン内で目的のサイトを自動的に検索して開き、次に悪意のあるアクターから受け取ったパラメータに従ってそのWebページ上でユーザーの操作を模倣してリンクをクリックします。Trojan.ChimeraWire はDLL検索順序ハイジャッキング脆弱性を悪用する悪意のあるプログラムを複数使用することでコンピューターを感染させ、検出を回避するためにアンチデバッグ手法も用います。

第4四半期を通して、素早く簡単に稼ぐことができると約束する新たな詐欺サイトがDoctor Webのインターネットアナリストによって特定されています。フィッシングサイトや偽のマーケットプレイスサイトも新たなものが確認されました。

Google Playでは引き続き新たな悪意のあるアプリが発見されています。それらの中にはAndroidユーザーを有料サービスに登録するトロイの木馬 Android.Joker や、さまざまな詐欺スキームに用いられる悪意のあるアプリ Android.FakeApp が含まれていました。また、Dr.Web Security Space for mobile devicesによって収集された検出統計から、Android向けバンキング型トロイの木馬の活動が活発化していることが明らかになりました。

2025年第4四半期の主な傾向

  • 検出された脅威の合計数が増加
  • 攻撃に使用されるユニークな脅威の数が減少
  • ランサムウェアに暗号化されたファイルの復号化リクエスト数が増加
  • Androidユーザーを標的としたバンキング型トロイの木馬の活動が活発化
  • AndroidユーザーのTelegramアカウントをハッキングするバックドア Android.Backdoor.Baohuo.1.origin が拡散される
  • Google Playに新たな悪意のあるアプリが出現

Doctor Webサーバーによる統計

#drweb

2025年第4四半期に最も多く検出された脅威:

Trojan.Siggen31.34463
感染したシステムにさまざまなマイニング型トロイの木馬やアドウェアをダウンロードするよう設計された、Go言語で記述されたトロイの木馬です。このマルウェアは %appdata%\utorrent\lib.dll に置かれるDLLファイルで、Torrentクライアント「uTorrent」のDLL検索順序ハイジャッキング脆弱性を悪用することで起動します。
Adware.Downware.20091
海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
VBS.KeySender.7
mode extensionsразработчикарозробника というテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
Trojan.BPlug.4268
WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
Adware.Siggen.33379
広告を表示させるために別のマルウェアによってシステムにインストールされる偽の「Adblok Plus」(ブラウザ用広告ブロッカー)です。

メールトラフィック内で検出された脅威の統計

#drweb
W97M.DownLoader.2938
Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4
Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
Trojan.AutoIt.1413
AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。
JS.Phishing.791
フィッシングページを生成する悪意のあるJavaScriptスクリプトです。

暗号化ランサムウェア

2025年第4四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2025年第3四半期と比較して1.15%増加しました。

Doctor Webのテクニカルサポートサービスに寄せられた復号化リクエスト数の推移:

#drweb

2025年第4四半期に最も多く確認された暗号化ランサムウェア(ユーザーからのリクエスト全体に占める割合):

インターネット詐欺

2025年第4四半期、Doctor Webのインターネットアナリストは新たな偽のマーケットプレイスサイトが出現していることを確認しました。詐欺師はマーケットプレイスを装ったサイトで、ルーレットに似た回転式のゲームに参加して賞品を獲得するようユーザーを誘っています。ユーザーは何度か挑戦した後「ツキが回って」きますが、賞品を受け取るためにまず送料を、そして次は保険料、その次は税金、などといった具合に次から次へと支払いを求められます。中には、賞品の在庫がないため代わりに現金で受け取ることができると告げられるケースも確認されています。ユーザーが同意すると、この場合も保険料やアカウント有効化のためなどと称して支払いを要求されます。

#drweb

「賞品の抽選」を提供する偽のマーケットプレイスサイトの例

第4四半期には、架空の劇場チケットを販売するサイトもDoctor Webの望ましくないサイトや悪意のあるサイトのデータベースに追加されました。こうしたサイトでは人気の舞台公演チケットを、多くの場合魅力的な価格で提供しています。しかしながら、購入代金を支払ったユーザーがチケットを受け取ることはなく、詐欺師にお金をあげてしまうも同然の結果に終わります。

#drweb

存在しない劇場チケットを販売する詐欺サイトの1つ

他にも、プライベートシアターのサイトを装って映画チケットを販売するサイトが発見されています。これらのサイトでも、購入代金を支払った被害者がチケットを受け取ることはありません。

#drweb

プライベートシアターの偽サイト

フィッシングサイトも複数発見され、そのうちのいくつかはPCゲームプラットフォーム「Steam」の偽サイトでした。悪意のあるアクターは、偽の認証画面でアカウント名とパスワードを入力するよう求めることでユーザーのアカウントデータを窃取しようとしていました。

#drweb

本物の「Steam」サイトを模倣し、アカウントにログインするよう求めるフィッシングサイト

存在しない投資プラットフォームにユーザーを誘い込む手法も引き続き横行しています。発見されたサイトの1つは米国在住のロシア語話者を標的とし、「Federal Invest」と呼ばれるプロジェクトに250ドル投資すれば「3か月で最大90,000ドル得ることができる」と持ちかけています。さらに、このプロジェクトの発足にはドナルド・トランプ氏が関わっていると主張しています。

#drweb

「儲かる投資プロジェクト」に参加できると持ちかける詐欺サイト

また別の詐欺サイトはウズベキスタンのユーザーを標的に大手持株会社と関連があるとするプロジェクトを宣伝し、このプロジェクトに参加すれば最初の1か月だけで1500万スム以上の収入を得ることができるとうたっています。

#drweb

「投資プロジェクト」に参加することで多額の利益を得ることができるとウズベキスタンの住民に約束する詐欺サイト

Find out more about Dr.Web non-recommended sites

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2025年第4四半期には広告を表示させるトロイの木馬 Android.MobiDashAndroid.HiddenAds が、活動には減少がみられたものの、引き続き最も多く検出された脅威となりました。Android.Siggen ファミリーに属する多様な機能を持つマルウェアが3位に上昇しています。バンキング型トロイの木馬の活動は第4四半期を通して活発化し、なかでも最も大きな増加をみせたのは Android.Banker ファミリーでした。

最も多く検出された望ましくないアプリケーションは、クラウドサービスCloudInjectを使用して改造されたアプリ Program.CloudInject となりました。最も多く検出されたリスクウェアはNP Managerユーティリティを使用して改造されたアプリ Tool.NPMod となり、最も多く検出されたアドウェアは開発者によってAndroidアプリに組み込まれるモジュール Adware.Adpush でした。

10月、Doctor WebはメッセンジャーアプリTelegram Xの改変版に埋め込まれた危険なバックドア Android.Backdoor.Baohuo.1.origin を発見しました。このマルウェアは機密情報を窃取し、動作ロジックを変更することで攻撃者が被害者のアカウントとメッセンジャー自体の両方を操作できるようにします。

Google Playでは第4四半期を通して新たな脅威が発見され、それらの中にはユーザーを有料サービスに登録するトロイの木馬 Android.Joker や、詐欺スキームに用いられる悪意のあるアプリ Android.FakeApp が含まれていました。

2025年第4四半期のモバイルマルウェアに関連した注目すべきイベント:

  • アドウェア型トロイの木馬が引き続き最も多く検出されたAndroid脅威となる
  • バンキング型トロイの木馬 Android.Banker の活動が増加
  • メッセンジャーアプリTelegram Xの改変版に潜む危険なバックドア Android.Backdoor.Baohuo.1.origin が発見される
  • Google Playに新たな悪意のあるアプリが出現

2025 年第4四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

新着ニュース 全てのニュース