はじめに
ESET Researchの調査により、悪名高いCloudEyeマルウェアの検出数が2025年下半期に30倍に急増したことが明らかになりました。この6ヶ月間で10万件を超える感染試行が確認され、世界中の組織に広範な脅威が迫っていることが示されています。
CloudEyEとは?
CloudEyEは、マルウェア・アズ・ア・サービス(MaaS)として運用されるダウンローダーおよびクリプターです。その主な機能は、Rescoms、Formbook、Agent Teslaといった情報窃取型マルウェアやリモートアクセス型トロイの木馬などの二次ペイロードを隠蔽し、システムに展開することです。このマルウェアは、ランサムウェア・アズ・ア・サービスやマルウェア・アズ・ア・サービスといったプラットフォームの拡大を利用し、マルウェア配布の手口に大きな変化をもたらしています。これにより、攻撃者は運用上の柔軟性と匿名性を維持しながら、多様なマルウェアファミリーを効率的に配布できるようになります。
多段階の感染チェーン
CloudEyEの感染手法は、回避能力を最大化する洗練された多段階アーキテクチャを特徴としています。
- 初期ダウンローダー段階: PowerShellスクリプト、JavaScriptファイル、およびNSIS(Nullsoft Scriptable Install System)実行可能ファイルを介して拡散します。これらの侵入経路は、主にスピアフィッシングメール、ドライブバイダウンロード、および侵害されたウェブサイトを通じて配信されます。
- クリプター段階: 最初の実行が成功すると、ダウンローダーは最終的なペイロードを格納するクリプターコンポーネント(第2段階)を取得します。
CloudEyEを特徴づける重要な要素は、すべての感染段階における高度な難読化です。この暗号化およびコード難読化技術は、エンドポイント検出および対応(EDR)ソリューション、静的分析、および脅威インテリジェンスデータベースからの検出を困難にします。この多層的な難読化アプローチにより、フォレンジック分析が著しく難しくなり、マルウェアが標的環境内でより長く存続することを可能にしています。
地理的分析
CloudEyEの攻撃分布に関する地理的分析では、中央および東ヨーロッパでの標的化が集中していることが示されています。2025年後半の登録感染試行の32%がこの地域で発生しており、ESETは2025年9月から10月にかけて組織的なメールキャンペーンの波を観測しています。この地理的集中は、無差別な配布ではなく、特定の産業分野や組織の脆弱性を狙った標的型作戦を示唆しています。
企業セキュリティへの影響
CloudEyEの急増は、モジュール型マルウェアアーキテクチャとMaaSプラットフォームがマルウェア配布を民主化するという、進化する脅威の状況を浮き彫りにしています。組織は、従来のシグネチャベースの検出メカニズムが、高度に難読化されたペイロードに対して不十分であることを認識する必要があります。感染チェーンがPowerShellやJavaScriptといった正規のシステムツールに依存していることは、悪意のある活動と通常の管理操作を区別する上での課題を浮き彫りにしています。
推奨される対策:
- 行動ベースの検出システム: 不審なPowerShellおよびJavaScriptの実行パターンを特定できるシステムを実装する必要があります。
- メールセキュリティの強化: NSIS実行可能ファイルや不審なスクリプト添付ファイルをブロックすることを優先的に行うべきです。
- EDRソリューションの活用: 高度なヒューリスティクスと機械学習機能を備えたエンドポイント検出および対応ソリューション(EDR)は、難読化された脅威活動に対する優れた可視性を提供します。
- ユーザーセキュリティ意識向上トレーニング: スピアフィッシングがCloudEyE配布の主要な感染経路であるため、不可欠です。
結論
10万件以上の感染という節目は、CloudEyEのインフラストラクチャの運用成熟度と到達範囲を示しています。そのモジュール型設計により急速な進化と適応が可能であるため、この脅威の継続的な監視は極めて重要です。