グローバルサイバーセキュリティ企業Recorded FutureのReversing、Emulation、and TestingチームのシニアマネージャーであるJustin Grosfelt氏は、オランダ・ハーグで開催されたONE Conferenceで、Windows PCに美観上のみの変更を加えてマルウェアに感染を諦めさせるコードの開発が可能であることを示す研究を発表した。マルウェアワクチンは、おとりファイルの配置、レジストリ編集、偽のmutexオブジェクト作成によりWindowsシステムに感染マーカーを作成する仕組みだ。Binary Defenseの研究者が2020年に作成したEmoCrashキルスイッチは、バンキング型トロイの木馬Emotetを無効化したが、6か月で作成者によりパッチが適用された。Recorded FutureはRhadamanthysというデータ窃取型マルウェアに対してもmutex技術を使用した。感染マーカーのアイデアは2012年にIEEEジャーナルで発表されたが、それ以降研究は進んでいない。サリー大学のAlan Woodward教授は、Microsoft Defenderが2015年からワクチン作成を主張しているが、シャドウコピーなど必ずしも積極的ではないと述べた。
From: 
How malware vaccines could stop ransomware’s rampage – The Register
【編集部解説】
マルウェアワクチンという概念は、実は1980年代から存在していました。しかし、これまで商業的に成功した例はほとんどありません。その理由は技術的な問題だけではなく、市場構造にあります。Google、Microsoft、CrowdStrikeといった巨大企業が支配するエンドポイント検出および応答(EDR)市場において、新興企業が新しいアプローチを持ち込むことは極めて困難です。
今回の研究で注目すべきは、PowerShellプロファイルを改変して「IsVirtualMachine = true」と表示させるだけで、実際には何も変更していないのにマルウェアを欺けるという点です。これは従来の個別マルウェア対応型ワクチンから、複数のマルウェアファミリーに効果がある汎用型へのパラダイムシフトを示唆しています。
ただし、課題も明確です。Binary DefenseのEmoCrashキルスイッチがわずか6か月で無効化されたように、攻撃者側も素早く対応します。これは「いたちごっこ」の構図であり、ワクチンの実装が簡単であればあるほど、回避も容易になるというジレンマを抱えています。
業界横断的な協力体制の欠如も深刻です。ジョージア工科大学のBrendan Saltaformaggio准教授が指摘するように、サイバー攻撃を受けたことは「汚点」として扱われ、企業や政府機関は情報共有に消極的です。この閉鎖的な環境では、共有知識ベースの構築は進みません。
Recorded FutureがSigmaルールのようなオープンソースコミュニティの創設を提案している点は興味深いですね。Sigmaルールは、セキュリティ情報およびイベント管理(SIEM)システム向けの脅威検出ルールをGitHub上で共有する取り組みで、業界内で成功事例とされています。
しかし、Alan Woodward教授が警告するように、完全なオープンソース化はサイバー犯罪者に対策方法を明かすリスクがあります。「オープンコントリビューション」という、貢献者を限定した形式が現実的かもしれません。
資金面の問題も看過できません。アラバマ大学バーミンガム校のGary Warner氏のコンピューターフォレンジックラボが、18年の歴史を経て8月に資金削減により閉鎖されました。基礎研究への公的資金投入が減少する中、サイバーセキュリティが「富裕層の特権」になりつつあるという指摘は重要です。
現実的な視点として、StrikeReadyのAlex Lanstein最高技術責任者が述べるように、エンタープライズ環境でのマルウェアワクチンは実用性に疑問があります。一方で、ホームユーザーには有効な選択肢となる可能性があります。つまり、対象とするユーザー層によって、この技術の価値は大きく変わるのです。
【用語解説】
ランサムウェア
コンピューターやファイルを暗号化してアクセス不能にし、復旧と引き換えに金銭を要求する悪意のあるソフトウェアである。近年、企業や公共機関を標的とした攻撃が激化している。
マルウェアワクチン
システムが既に感染している、または分析環境で動作していると偽装することで、マルウェアの実行を事前に阻止する予防的セキュリティ技術である。
感染マーカー
システムに配置される小さな痕跡で、マルウェアにシステムが既に感染済みであると誤認させる仕組みである。おとりファイル、レジストリキー、mutexオブジェクトなどが使用される。
mutex(相互排他フラグ)
Windowsのリソース管理機構で、1つのプロセスが共有リソースを占有している間、他のプロセスがアクセスできないようにする仕組みである。マルウェアもこれを利用するため、偽のmutexでペイロード実行を阻止できる。
EDR(エンドポイント検出および応答)
ネットワーク上の端末(エンドポイント)における脅威をリアルタイムで検出・分析し、対応するセキュリティソリューションである。
SIEM(セキュリティ情報およびイベント管理)
ログファイルから脅威を検出し、悪意のある活動を特定するためのシステムである。
Sigmaルール
SIEMシステム向けの脅威検出ルールで、GitHub上でサイバーセキュリティ業界によって共同でメンテナンスされているオープンソースプロジェクトである。
シャドウコピー
Windowsのバックアップ機能で、ランサムウェアがデータを消去しようとしても実際にはバックアップを保護できる仕組みである。
Emotet
バンキング型トロイの木馬マルウェアで、2020年にBinary DefenseのEmoCrashキルスイッチによって一時的に無効化されたが、その後も活動を続けている。
PowerShellプロファイル
Windowsのコマンドライン環境であるPowerShellの設定ファイルで、コマンド実行時の動作をカスタマイズできる。
【参考リンク】
Recorded Future(外部)
マサチューセッツ州に本社を置くグローバルサイバーセキュリティ企業。脅威インテリジェンスプラットフォームを提供し、今回のマルウェアワクチン研究を発表した。
Binary Defense(外部)
サイバーセキュリティ企業で、2020年にEmotetマルウェアを無効化するEmoCrashキルスイッチを開発したことで知られる。
StrikeReady(外部)
テキサスを拠点とするソフトウェア会社で、脅威検出とアラート管理を統合した統合セキュリティオペレーションプラットフォームを開発している。
サリー大学(外部)
英国に拠点を置く大学で、コンピューターセキュリティ専門家のAlan Woodward教授が所属している。
Sigma HQ(GitHub)(外部)
SIEM向けの脅威検出ルールを管理するオープンソースプロジェクトで、サイバーセキュリティ業界全体で共同メンテナンスされている成功事例である。
OpenSSL(外部)
コンピューターネットワーク上での暗号化と安全な通信を実現するオープンソースソフトウェアライブラリである。
【参考記事】
H1 2025 Malware and Vulnerability Trends – Recorded Future(外部)
Recorded Futureによる2025年上半期のマルウェアと脆弱性のトレンド分析レポート。ランサムウェア攻撃者が採用した新しいTTPsについて詳細に記載。
Ransomware Mitigation Solutions – Recorded Future(外部)
Recorded Futureのランサムウェア軽減ソリューションに関する情報。攻撃ライフサイクルの各段階で脅威を防ぐための包括的アプローチを提供。
マルウェアワクチンはランサムウェアの猛威を止められるか?(外部)
日本語で同テーマを扱う記事。マルウェアワクチンの技術的詳細と実用化への課題について解説している。
【編集部後記】
サイバーセキュリティというと、どこか専門家だけの世界のように感じられるかもしれません。でも、ランサムウェアによる被害は2025年も英国のCo-opやM&S、Harrods、Jaguar Land Roverなど、私たちの日常生活に密接に関わる企業を次々と襲っています。マルウェアワクチンという「予防」の考え方は、ホームユーザーにとっても実用的な選択肢になる可能性があります。みなさんのご自宅やお仕事で使っているPCに、こうした技術が標準装備される未来を想像してみてください。あるいは、オープンソースコミュニティという形で、世界中の研究者が協力し合う仕組みについて、どう思われますか?セキュリティが「富裕層の特権」になってしまうことへの懸念も含めて、ぜひご一緒に考えていきたいテーマです。
