GoogleもGitHubも“汚染”される？ 「正規サービス悪用型」攻撃の恐怖：「公式だから安心」ではない

OSの標準ツールを悪用する「LOTL」攻撃が猛威を振るっている。「Google検索」や「GitHub」といった、日常的に使う正規ツールを悪用する攻撃の危険性を、実際の攻撃例を交えて解説する。

[TechTarget]

　セキュリティベンダーBitdefenderは2025年6月、同社のエンドポイントセキュリティツール「Bitdefender GravityZone」が直近90日間で記録した70万件以上のセキュリティイベントを分析した結果を発表した。その結果、「重大」と評価された大規模な攻撃の84％で、OSの標準ツールを悪用する「環境寄生型」（LOTL：Living-Off-the-Land）攻撃手法が用いられていたことが判明した。「Google検索」やソースコード共有サービス「GitHub」といった正規のツールを悪用する攻撃の危険性を、実際の攻撃例を交えて解説する。

“古くても危険”なLOTL攻撃

併せて読みたいお薦め記事

多様な攻撃手法

• まさかの倒産まで……ランサムウェアだけじゃない「中小企業を狙う脅威」の実態
• 人気の攻撃ツール「Lumma Stealer」を撲滅　“犯罪のサブスク”をどう止めた？

　LOTL攻撃は新しい概念ではない。用語が生まれたのは2013年だが、手法自体は2001年に登場したワーム（自己複製をしながら他のシステムに拡散するマルウェア）「Code Red」にまでさかのぼる。Code Redはメモリ内のみで実行されるワームで、ファイルのダウンロードやインストールを伴わずに数十億ドル規模の損害をインターネットインフラ全体に与えたとの報告がある。

　OSに元から存在する正規のソフトウェアや機能を悪用するのがLOTL攻撃だ。Code Redの事例では、ワームがMicrosoftのWebサーバソフトウェア「IIS」（Internet Information Services）を悪用し、DoS（サービス妨害）攻撃を実行した。

　信頼されている正規のソフトウェアや機能を利用する攻撃は、正常な動作と区別することが難しく、セキュリティツールでは検出できない場合がある。こうして検出を回避した攻撃者は、一度標的システムに侵入すると、偵察活動やファイルレスマルウェア、メモリ上で実行されるマルウェアの展開、認証情報の窃取といったLOTL攻撃を、被害者に気付かれることなく実行できる。

　以下では、LOTL攻撃の他、正規のシステムを悪用した近年の攻撃事例を解説する。

ショートカットファイルとCloudflareのサービスを悪用する攻撃

　セキュリティベンダーSecuronixは2025年6月、「SERPENTINE#CLOUD」と名付けられたマルウェアキャンペーン（一連の攻撃活動）を発見したと発表した。この攻撃は、LNK形式のショートカットファイルを利用して、標的システムに遠隔でペイロード（マルウェアの実行を可能にするプログラム）を送り込む。攻撃はフィッシングメールから始まり、エンドユーザーがメールの添付ファイルを開いてショートカットファイルを実行すると、次のペイロードのダウンロードが始まる。最終的に、プログラミング言語「Python」で記述されたシェルコードローダー（本格的な攻撃をメモリに呼び込むプログラム）がメモリに展開され、システムにバックドア（侵入口）を設置する仕組みだ。

　SERPENTINE#CLOUDにおいて、攻撃者はコンテンツデリバリーネットワーク（CDN）ベンダーCloudflareのトンネリングサービスを悪用してペイロードをホストし、信頼性の高い証明書やHTTPS通信を利用している。この攻撃には国家が関与する攻撃者のような洗練された手口が見られるものの、一部のソースコードの特徴から、主要な国家支援型攻撃グループによるものではない可能性が高いとSecuronixは推測する。

検索結果に偽のサポート電話番号を埋め込む詐欺

　攻撃者がAppleやMicrosoft、PayPalなど大手企業を装ってGoogle検索のスポンサー広告枠を買い取り、テクニカルサポート詐欺を仕掛けている。この攻撃はエンドユーザーを正規の企業Webサイトに誘導し、正規のサポート電話番号の上に偽のサポート電話番号を重ねて表示するという巧妙なものだ。エンドユーザーがその番号に電話をかけると、攻撃者が公式サポート担当者を装ってエンドユーザーのデータや金融情報を盗み出したり、デバイスへのリモートアクセス権を取得したりする。

　セキュリティベンダーMalwarebytesはこの手口を「検索パラメーターインジェクション攻撃」と呼ぶ。エンドユーザーは、電話をかける前に企業の公式情報でサポート電話番号を確認することが推奨される。

GitHubリポジトリを武器化してセキュリティ専門家を標的にする攻撃

　トレンドマイクロは2025年5月、脅威グループ「Water Curse」の活動を初めて観測した。このグループは、GitHubの正規セキュリティツールを装ったリポジトリを悪用し、悪意のあるビルドスクリプト（ソースコードからの実行ファイル生成を自動実行するプログラム）を介してマルウェアを配布する。

　このグループは2023年3月から活動しており、少なくとも76件のGitHubアカウントを使用して、サイバーセキュリティ専門家やゲーム開発者、DevOps（開発と運用の融合）チームを標的にしている。この攻撃では、複数段階でマルウェアが実行される。まず標的システム内の認証情報やWebブラウザが保持するデータ、セッション識別子を外部に送信する他、リモートアクセスを可能にして標的システム内に潜伏し続ける。攻撃は、被害者が悪意のあるソースコードを埋め込まれたオープンソースプロジェクトをダウンロードすることから始まる。コンパイル時にソースコードが実行されるとペイロードが展開され、システムの偵察やデータの窃取が実行される仕組みだ。