MostereRAT新種マルウェア、日本のWindowsユーザーを標的にEDR無効化攻撃

FortinetのFortiGuard Labsが2025年9月8日にレポートを公開し、「MostereRAT」と呼ばれる新しいマルウェアキャンペーンを発見したと発表した。

このマルウェアは、バンキングマルウェアから転用されたリモートアクセス型トロイの木馬（RAT）で、日本のMicrosoft Windowsユーザーを標的としている。FortiGuard Labsの脅威研究者Yurren Wan氏によると、攻撃の最終目標は不明である。

MostereRATの特徴は、Easy Programming Language（EPL）という中国のプログラミング言語で書かれていることである。マルウェアは2つの主要モジュールで構成され、そのうち1つは持続性、権限昇格、AV回避、ペイロード展開を処理し、もう1つは37のコマンド機能とmTLS通信サポートを持つコアRAT機能を提供する。

攻撃は日本語のフィッシングメールから始まり、悪意のあるWordドキュメントをダウンロードさせる。マルウェアは感染したシステム上で「TrustedInstaller」として実行され、正規のリモートアクセスツールであるAnyDeskとTightVNCを展開する。また、Windows Defender、ESET、Avira、Avast、Malwarebytes、AVG、Kaspersky、Bitdefender、Norton、Symantec、McAfee、360 Safe、Kingsoft Antivirus、Tencent PC Managerなど多数のセキュリティ製品を無効化する機能を持つ。BeyondTrustのフィールドCTOであるJames Maude氏は、組織にローカル管理者権限の削除を推奨している。

From: ‘MostereRAT’ Malware Blends In, Blocks Security Tools

【編集部解説】

今回のMostereRATマルウェアは、サイバーセキュリティ業界が新たな段階に入ったことを示唆しています。このマルウェアが特に注目される理由は、従来の防御システムを無力化する新しいアプローチを採用している点にあります。

高度な回避技術の進化

最も注目すべきは、MostereRATがEasy Programming Language（EPL）という中国発のプログラミング言語で記述されていることです。多くのセキュリティ分析ツールはC++やPythonなどの一般的な言語での攻撃を想定しており、EPLのような特殊な言語で書かれたマルウェアに対しては検出精度が低下する可能性があります。これは、攻撃者がセキュリティツールの「盲点」を狙った戦略的な選択といえるでしょう。

さらに重要なのは、このマルウェアがTrustedInstallerアカウントを悪用する点です。TrustedInstallerは、Windowsシステムにおいて管理者権限よりもさらに強力な権限を持つアカウントで、システムファイルの変更やレジストリの深部へのアクセスが可能です。通常の管理者でさえアクセスできない領域に踏み込めるため、従来の権限管理による防御策が無効化されるリスクがあります。

正規ツールの悪用という新たな脅威

MostereRATのもう一つの特徴は、AnyDeskやTightVNCといった正規のリモートアクセスツールを悪用することです。これらのツールは企業や個人が正当な目的で使用するソフトウェアであり、信頼できるベンダーによってデジタル署名されています。そのため、EDRシステムは通常これらを悪意のあるソフトウェアとして認識しません。

この手法は「Living off the Land」攻撃の一種で、攻撃者が既存の正規ツールを武器化することで検出を回避します。企業のセキュリティ担当者にとって、正規ツールと悪意のある活動を区別することは極めて困難な課題となっています。

日本を標的とした戦略的攻撃の意味

このマルウェアが日本のWindowsユーザーを特定して狙っている点も重要です。攻撃者は日本語のビジネスメールを装ったフィッシングメールを使用しており、地域特化型の攻撃キャンペーンを展開しています。これは単発的な攻撃ではなく、日本の企業や組織に対する長期的な情報収集や潜入を目的とした可能性を示唆しています。

セキュリティ業界への警鐘

BeyondTrustのJames Maude氏が指摘するように、この攻撃は特権ユーザーの管理とアプリケーション制御の重要性を改めて浮き彫りにしています。多くの企業では、利便性を重視してユーザーにローカル管理者権限を付与していますが、これが攻撃の成功率を大幅に高めている現実があります。

また、Windows Filtering Platform（WFP）フィルターを使用してセキュリティ製品の通信を遮断する技術は、EDRSilencerなどのレッドチームツールからの応用とされています。これは、本来防御側が使用するテスト技術が攻撃者によって悪用されている状況を示しており、セキュリティ業界全体で対策の見直しが必要な状況といえるでしょう。

今後の影響と対策の方向性

このような高度なマルウェアの出現は、従来のシグネチャベースやヒューリスティック分析だけでは限界があることを示しています。今後は、行動分析やAIを活用した異常検知技術の重要性がさらに高まると予想されます。

組織レベルでは、ゼロトラスト原則の導入、特権アクセス管理の強化、そして承認されていないリモートアクセスツールの監視・ブロックが急務となるでしょう。特に、リモートワークが定着した現在、正規のリモートアクセスツールと悪意のある使用を区別する技術の開発が重要な課題となっています。

【用語解説】

MostereRAT（モステレラット）
Fortinetが発見した、リモートアクセス型トロイの木馬（RAT）。元々はバンキングマルウェアから転用されており、37のコマンド機能を持つ高度なマルウェアである。

EDR（Endpoint Detection and Response）
エンドポイント（PC・サーバー等）における不審な活動や脅威を監視・検出・対応するセキュリティソリューション。従来のアンチウイルスより高度な行動分析を行う。

Easy Programming Language（EPL）
中国で開発されたプログラミング言語。マルウェア開発では一般的ではないため、多くのセキュリティツールが検出・分析を苦手とする。

TrustedInstaller
Windowsシステムの最高権限アカウント。管理者権限よりもさらに強力で、システムファイルやレジストリの深部への変更が可能である。

Windows Filtering Platform（WFP）
Windowsのネットワーク通信を制御・監視するためのフレームワーク。正規の用途では防御に使われるが、攻撃者がセキュリティ製品の通信を遮断する目的で悪用される。

mTLS（mutual TLS）
相互認証を行うTLS通信方式。クライアントとサーバーの双方が証明書を使って身元を確認し合う、セキュアな通信プロトコル。

【参考リンク】

Fortinet FortiGuard Labs（外部）
グローバル規模でサイバー脅威の監視・分析を行うFortinetの脅威インテリジェンス組織。AIを活用したデータマイニングで新たな脅威を発見している。

AnyDesk（外部）
ドイツ発のリモートデスクトップソフトウェア。軽量でスマートフォンからデスクトップまで幅広いプラットフォームに対応し、企業や個人で広く利用される。

TightVNC（外部）
オープンソースのVNCソフトウェア。無料でリモートデスクトップ機能を提供し、主にWindowsとLinux環境で使用される。

BeyondTrust（外部）
特権アクセス管理とゼロトラストセキュリティソリューションを提供する米国のサイバーセキュリティ企業。Field CTOのJames Maude氏が業界エキスパートとして活動。

【参考記事】

MostereRAT Deployed AnyDesk/TightVNC for Covert Full Access（外部）
Fortinetの公式ブログで公開された技術分析記事。MostereRATマルウェアの詳細な技術分析と攻撃手法について解説し、EPLプログラミング言語の使用や2段階のペイロード展開プロセスを詳述している。

MostereRAT Targets Windows Users With Stealth Tactics（外部）
InfoSecurity Magazineによる報道記事。日本を標的としたフィッシングキャンペーンの詳細と、正規ツールを悪用した攻撃手法について第三者視点から分析している。

How EDRSilencer Helps Attackers Bypass EDR Security Solutions（外部）
PacketLabsによるEDRSilencerツールの技術解説。MostereRATが使用するWFPフィルター技術の背景となるレッドチームツールについて詳細に分析している。

3 EDR Bypass Techniques & How to Stop Them（外部）
Deep Instinctによる、EDR回避技術の包括的な解説記事。MostereRATのような高度なマルウェアが使用する回避手法の技術背景と対策について論じている。