なぜLNKベースの攻撃が依然として見逃されてしまうのか
2025年後半、Arctic Wolf Labsは、ベルギー、ハンガリー、およびその他の欧州諸国の外交機関を標的としたスパイ活動に関する調査結果を公表した。この脅威アクターは、UNC6384として追跡されている中国系グループであり、欧州委員会の正規の会合やNATO関連のワークショップを装ったスピアフィッシングメールを用いて、悪意のあるWindowsショートカット(LNKファイル)を送りつけていた。
受信者がショートカットをクリックすると、隠されたPowerShellコマンドが実行され、多段階の感染チェーンが開始され、最終的にPlugXリモートアクセストロイの木馬が仕込まれた。この攻撃キャンペーンでは、2025年3月に公開されたWindowsのショートカットの脆弱性「ZDI-CAN-25373」が悪用された。この脆弱性を利用すると、LNKファイルのコマンドライン引数内の空白文字のパディングの背後にコマンドを隠すことで、密かにコマンドを実行することが可能となる。
UNC6384によるこの手法の活用は、より広範な問題を浮き彫りにした。すなわち、ショートカットファイルはユーザーにとって依然として日常的な存在であり、実行ファイルやマクロ有効化文書に比べて、十分に精査されないことが多々あるということだ。悪意のあるLNKファイルが実行されると、最も危険な活動は、多くの場合、実行時にエンコードされたスクリプト、段階的に展開されるアーカイブ、署名付きバイナリの悪用などを通じて展開される。こうした状況では、静的スキャンやレピュテーションチェックだけでは対応しきれない場合がある。
このキャンペーンはそれ以来、進化を続けている。2026年4月、The Hacker Newsは、業界内でTA416として追跡されているこの脅威グループが、2025年半ば以降、欧州の政府機関や外交機関を再び標的にし始めたと報じた。同グループは、OAuthリダイレクトの悪用、Cloudflare Turnstileのチャレンジページ、MSBuildを利用した実行といった新たな攻撃手法を次々と試行しつつ、PlugXペイロードの更新も継続している。
本記事で取り上げるArctic Wolfの調査は、現在記録され、進行中の作戦の一段階を捉えたものであり、MetaDefender Deep CDR™テクノロジーが連携することで、検知と予防の間のギャップをいかに埋めるかを示しています。
UNC6384のアタックチェーン
その始まりは、ほとんどのユーザーが疑いもしないようなファイルでした。このキャンペーンで配布された「Agenda_Meeting 26 Sep Brussels.lnk」という名前のLNKファイルは、わずか2.58 KBの容量で、EUと西バルカン諸国の国境検問所における物品の自由な移動の促進に関する、欧州委員会の実際の会議を参照していました。これは実在するイベントの実在する議題であり、一見するとごく普通のショートカットに見えました。
ステージ1:悪意のあるLNKファイルによる初期侵入
受信者がショートカットをダブルクリックすると、PowerShellが静かに起動し、難読化されたコマンドによってtarアーカイブ(rjnlzlkfe.ta)が復号・抽出され、ユーザーのローカルTempディレクトリに保存されました。その後、PowerShellコマンドはtar.exeを使用してアーカイブを解凍し、その内容を起動すると同時に、実際の会議の議題が表示されたおとり用のPDFファイルを開きました。被害者は文書を閲覧しただけでしたが、攻撃者はコードの実行権限を獲得しました。
ステージ2:正規の署名付きバイナリを用いたDLLのサイドローディング
解凍されたアーカイブには、cnmpaui.exe、cnmpaui.dll、cnmplog.dat の3つのファイルが含まれていました。最初のファイルは、キヤノン株式会社がシマンテック発行の証明書を用いてデジタル署名した、正規のキヤノンプリンターアシスタントユーティリティです。この署名は、証明書がまだ有効であった時期にタイムスタンプが押されているため有効であり、つまり、証明書自体は2018年に失効しているにもかかわらず、Windowsはこのバイナリを信頼し続けていることになります(Arctic Wolf)。
ここで重要なのが「正確さ」です。このEXEファイル自体は悪意のあるものではありません。これは、特定の目的のために悪用されている本物のキヤノン製ユーティリティです。cnmpaui.exeが実行されると、システムパスを確認する前に、自身のディレクトリ内でcnmpaui.dllを検索します。UNC6384は、正規のバイナリと同じ名前の悪意のあるDLLをその隣に配置することで、この検索順序を乗っ取り、信頼されたプロセス内に独自のコードを読み込みました。
ステージ3:ペイロードの復号とPlugXの実行
悪意のある「cnmpaui.dll」は軽量なローダーであり、2025年10月版のものはわずか4KBで、ただ一つの目的、すなわち3つ目のファイル「cnmplog.dat」を復号して実行するように設計されています。このファイルは、PlugXリモートアクセス型トロイの木馬を含むRC4暗号化されたブロブです。 ローダーは、ハードコードされた16バイトの鍵を使用してこれを復号し、その結果得られたペイロードを正規の cnmpaui.exe プロセスのメモリ空間に直接マッピングします。
それ以降、PlugXは署名済みで信頼されたバイナリ内で実行される。 「CanonPrinter」という名前のレジストリのRunキーを通じて永続性を確立し、「SamsungDriver」や「DellSetupFiles」といった名前の隠しディレクトリを作成して環境に溶け込ませ、ポート443のHTTPS経由でコマンド&コントロールインフラと通信します。その際、ランダム化されたURLパスと偽装されたInternet Explorerのユーザーエージェント文字列を使用し、通常のWebトラフィックに紛れ込ませます。
最初のクリックからバックドアの起動に至るまで、この一連のプロセスにおいて一見して明らかに悪意のあるものはなく、真に不審な動作のほとんどは実行時にのみ現れました。各段階は、静的解析では正常に見えるように設計されており、従来のフィルタが監視していない場所で実行されるようになっています。
なぜ静的防御はこの連鎖に対処できないのか
静的防御策はこの一連の手口に対処しづらい。なぜなら、各段階は単独で見れば問題ないように設計されているからだ。この攻撃が効果的なのは、明らかに悪意のあるファイルが1つあるからではなく、一見信頼できそうなコンポーネントが連続して使用されており、その真の意図が実行時に初めて明らかになるためである。この手口はショートカットファイルに限った話ではない。攻撃者は、一見無害に見える画像ファイルにペイロードを隠し、LNKベースの配信と組み合わせることで、従来のウイルス対策ソフトの検知を回避している。
なぜ静的防御はこの連鎖に対処できないのか
| ステージ | ディフェンダーの視点 | なぜ検査に合格するのか |
|---|---|---|
| 悪意のあるLNKファイル | 外交会談に関する2.58 KBのショートカットファイル | LNKファイルはデフォルトではリスクが低いとされています。ZDI-CAN-25373では、PowerShellコマンドが空白文字で埋め尽くされた形式で隠されており、ほとんどのメタデータ検査ツールではこれを解析できません。 |
| 署名済み Canon EXE | 公認の発行元による、有効なタイムスタンプ付きのデジタル署名が付与された正規のPE32バイナリ | これをブロックすると、Canonのプリンターソフトウェアを実行しているすべての環境がフラグ付けされてしまいます。レピュテーションエンジンがこれを不審に思う理由はありません。 |
| 4 KBのローダーDLL | 明らかに不審なインポート関数が一切なく、読み込み、復号、および実行の引き継ぎのみを行う最小限のDLL | YARAルールでは既知の亜種を検出できますが、異なる鍵や復号ルーチンを用いて再コンパイルされたローダーは、静的解析では検出されません。 |
| 暗号化されたPlugXペイロード | 復号化された状態でディスクに書き込まれることのない、不透明な.datデータブロック | ファイルベースのスキャンでは、実際のマルウェアを検査することはありません。ペイロードは、信頼されたCanonプロセスのメモリ空間に直接読み込まれます。 |
静的解析ツールが検査できる範囲と、実行時に実際に起きていることとの間のギャップこそが、回避型攻撃が横行する温床となっています。このギャップを埋めるには、ファイルの起動からその後のすべての段階に至るまでの実行パスを完全に追跡し、外観ではなく動作に基づいて判定を下すことのできる検出アプローチが必要です。
MetaDefender 全プロセスを可視化する方法
MetaDefender 、OPSWAT統合型ゼロデイ検知ソリューションであり、4つの分析レイヤーを組み合わせることで、各ファイルを多角的に検査し、信頼性の高い判定結果を1つだけ返します。
- 脅威レピュテーション機能では、500億件以上のインジケーターから収集されたグローバルなインテリジェンスと照らし合わせ、ファイルのハッシュ値、メタデータ、および埋め込まれたインジケーターを検証します。このプロセスを通じて、既知の脅威を特定するとともに、未知の脅威に対して文脈情報を付加します。
- その後、Adaptive エミュレートされた環境内でそのファイルを実行し、実行時のシーケンスを監視します。具体的には、LNKがPowerShellを起動し、エンコードされたコマンドがtarアーカイブをデコードし、署名付きCanonバイナリが署名なしのDLLを読み込み、復号されたPlugXペイロードが永続化を確立してC2(コマンド&コントロール)インフラストラクチャに接続する一連の動作です。
- 脅威スコアリングでは、これらの結果、レピュテーション・シグナル、および抽出された指標を統合し、行動の全体的な文脈を反映した加重リスクスコアを算出します。
- 機械学習(ML)を活用した類似性検索では、ファイルとその動作を既知のマルウェアファミリーや関連する活動と比較することで、PlugXの亜種や類似のDLLサイドローディング攻撃との関連性を特定するのに役立ちます。
このパイプラインを組み合わせることで、最大99.9%のゼロデイ攻撃検出率を実現し、ファイルごとに単一の信頼できる判定結果を返すため、SOCアナリストが個別のレポートを手作業で照合する必要がなくなります。これは、チームが電子メール、MFT、ICAP、キオスク、ストレージ、およびドメインをまたぐワークフローを通じて、1日に数百件ものファイルを優先順位付けする際に重要な意味を持ちます。
このチェーンにおける重要な差別化要因は、命令レベルでのエミュレーションです。従来のVMベースのサンドボックスでは、完全な実行を回避するためにアンチVM回避技術、タイミング遅延、環境チェックを利用するマルウェアを見逃してしまう可能性があります。MetaDefender プティブ・サンドボックスMetaDefender 、CPUおよびOSの動作を命令レベルでエミュレートするため、LNKからPowerShell、そしてDLLのサイドローディングに至る一連のプロセスを完全に可視化することができます。
SOCチームにとって、その見返りは実用的なものです:
- 判定結果はすでに相関付けられ、MITREマッピングされているため、トリアージが迅速化される
- 静的な評価だけでなく実行時の挙動も反映しているため、ブロック判定がより的確になる
- MetaDefender 、悪用されている正当な署名付きバイナリと、真に悪意のあるペイロードとを区別できるため、誤検知が減少しました
- こうした攻撃が環境内に侵入してくるファイル取り込みポイント全体において、ゼロデイ攻撃への備えを強化する
How Deep CDR™ テクノロジーがトリガーを中和する仕組み
Deep CDR™テクノロジーは、一連の攻撃の引き金となるファイルを無力化することで、攻撃の連鎖が始まる前にこれを阻止します。MetaDefender 実行時に悪意のあるファイルの動作を可視化するのに対し、Deep CDR™テクノロジーは、そのファイルが実行される機会そのものを未然に防ぎます。
この仕組みは、LNKベースの攻撃の動作特性に特化したものです。悪用されたショートカットは、埋め込まれたコマンドライン引数に悪意のあるコードを隠しています。このケースでは、tarアーカイブを解凍し、ペイロードチェーンを起動するエンコードされたPowerShell呼び出しがそれにあたります。Deep CDR™テクノロジーはこの埋め込まれたコマンドを検知し、無害なダミーコマンドに置き換えます。これにより、ショートカットはクリーンな状態で保持されつつ、攻撃の引き金として機能する能力が排除されます。
その結果、実行前に元の悪意のある動作が無効化される、安全化されたLNKワークフローが実現されます。PowerShellの実行、アーカイブの解凍、DLLのサイドローディング、PlugXの動作は一切行われません。MetaDefender CDR™テクノロジーを組み合わせることで、2層防御モデルが構築されます。
2層防御モデル
| レイヤー | テクノロジー | 役割 |
|---|---|---|
| 検知し、理解する | MetaDefender | ファイルを実行し、多段階にわたる実行パスを完全に可視化し、動作ベースのIOCを抽出し、単一の信頼できる判定結果を返します。 |
| 解除し、防止する | ディープCDR™テクノロジー | 悪意のあるLNKコマンドを無効化し、ショートカットの実行を阻止します。 |
この違いは実務において重要です。MetaDefender 、詳細な分析を必要とするファイル向けのゼロデイ検知ソリューションであり、特に実行時の挙動を把握し、確信を持って判定を下すことを目的とする場合に有効です。Deep CDR™テクノロジーは、正当な使用を妨げることなく安全に無害化できるファイル向けのサニタイズおよび防止制御機能です。これらを組み合わせることで、脅威の挙動を把握することと、脅威に機会を与えないようにすることという、問題の両面をカバーします。
なぜ精度が重要なのか
精度が重要なのは、攻撃チェーンに含まれるすべてのファイルが悪意のあるものではないためです。それらをすべて同じように扱うと、検知範囲が広くなりすぎて、ツールへの信頼が損なわれてしまいます。今回のキャンペーンは、その点を如実に示しています。
署名付きキヤノンプリンターユーティリティ(cnmpaui.exe)は、正規のバイナリです。このファイルには有効なデジタル署名があり、信頼性が高く、正規のソフトウェアと一致するハッシュ値を持っています。これを悪意のあるファイルとしてフラグ付けすると、キヤノンのプリンターソフトウェアがインストールされている環境で誤検知が発生し、SOCアナリストが受信するアラートを信用しなくなる原因となります。
主なIOC(侵害の兆候)は、悪意のあるDLL(cnmpaui.dll)および、それが引き起こす一連の動作です:
- ハードコードされたRC4キーを使用した暗号化ペイロードのサイドローディングと復号
- 復号化されたPlugXバイナリを、信頼されたプロセスのメモリ空間にマッピングする
- 「CanonPrinter」のRunキーを使用して永続性を確立する
- ランダム化されたURLパスと偽装されたUser-Agent文字列を使用してHTTPS C2トラフィックを送信する
これこそが最も重要なシグナルであり、検出ツールが動作を監視し、悪用されている信頼できるバイナリと、真に悪意のあるアーティファクトとを区別できた場合にのみ、それらが明らかになるのです。
ここで、MetaDefender 単一の信頼できる判定結果が特に価値を発揮します。検出パイプラインは、チェーン内のすべてのファイルに対して一律に「悪意あり」というラベルを付けるのではなく、完全な実行コンテキスト内で観測された動作に基づいて、各コンポーネントにスコアを付与します。
署名付きEXEファイルは、サイドローディングに使用される正当なバイナリとして認識されます。一方、DLLおよびそれが引き起こす実行時の挙動は、真の脅威としてフラグが立てられます。この区別により、セキュリティチームは状況をより明確に把握できるようになり、ノイズから有用な情報を抽出するために必要な手作業の負担を軽減できます。
悪意のあるDLLに対する静的検知は、YARAなどのターゲットを絞ったルールによって強化することも可能です。Arctic Wolfが公開しているCanonStagerローダー向けのYARAシグネチャは、そのための有用な出発点となります。しかし、シグネチャによる検知は本質的に事後対応的なものです。このような攻撃チェーンにおいては、行動分析による可視化とファイルの中和こそが、真の差別化要因となります。
階層型ファイルセキュリティを適用して、LNKファイルを利用した攻撃チェーンを特定する
LNKを利用した攻撃が依然として有効なのは、人々が日常的に目にするファイル形式であり、危険だと見なされることがほとんどないためです。以前の記事で指摘したように、LNKファイルはごく一般的なWindowsのショートカットであり、攻撃者はその中にPowerShellやcmd.exeのコマンドを隠して悪用することができます。場合によっては、実際にファイルを開くまでは無害に見えることもあります。まさにそれが、UNC6384のような攻撃キャンペーンが成功し続けている理由です。ショートカットは馴染みのあるものに見えますが、それが引き起こす動作は全くの別物だからです。
この傾向は、複数の攻撃キャンペーンを通じて一貫して見られます。以前のエモテットに関する記事では、ショートカットファイルが通常のドキュメントと見分けがつきにくい理由や、Windowsではデフォルトで拡張子が表示されないことを解説しました。こうした特性により、ショートカットファイルは感染の媒介手段として特に効果的でした。ここでも得られる教訓は同じです。つまり、攻撃者にとって、日常的なワークフローに紛れ込み、多段階の感染チェーンを起動できる既知のファイル形式が存在する以上、新たな手口を用意する必要はないのです。
重要なのは、チェーンに含まれるすべてのファイルを悪意のあるものと見なすことではありません。実行時の挙動を可視化し、悪用されている正当なバイナリと悪意のあるペイロードを区別し、トリガーが作動する前に阻止できる、多層的なファイルセキュリティを適用することです。MetaDefender CDR™テクノロジーMetaDefender 、LNKベースの攻撃の検知、分析、防止において貴社のチームにどのように役立つかについて、OPSWAT にご相談ください。
