ESET脅威レポート 2025年上半期版 PDF Free Download
1 / 37
/37
100%
(eset):research
2025 年上半期版
2024 年12 月 - 2025 年5月
ESET
脅威レポート
ESET 脅威レポート
2025 年上半期 | 3
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
エグゼクティブサマリー
攻撃方法 ソーシャルエンジニアリング
ClickFix:偽りのエラーメッセージから展開される本当の脅威
ClickFix と呼ばれる新しいソーシャルエンジニアリング手法が急速に広がっており、
現在ではフィッシングに次いで 2番目に多い攻撃手法となっています。
情報窃取型マルウェア サービスとしてのマルウェア
大規模に拡散した情報窃取型マルウェアの解体作戦
ESET は、悪名高い 2つの情報窃取型マルウェア「Lumma Stealer」と「Danabot」の解体作戦に
参加しました。
情報窃取型マルウェア サービスとしてのマルウェア ランサムウェア
SnakeStealer、検出数のトップに躍り出る
Agent Tesla の開発者がそのマルウェアの運用を停止したことにより、ESET のテレメトリデータにおいて、
SnakeStealer が最も多く検出された情報窃取型マルウェアとなりました。
Android アドウェア
Android デバイスに大量の広告を表示する Kaleidoscope とそのイービルツインの仕組み
Android のアドウェアの検出数が 160% も急増しましたが、これは、新しいイービルツインの詐欺と、
望ましくないアプリケーション(PUA)が増加したことが要因です。
Android NFC 詐欺
NGate から GhostTap、そしてリレー攻撃へと進化した NFC 詐欺
NFC を悪用した詐欺は、フィッシングキャンペーンや巧妙なリレー攻撃により、35 倍以上増加しました。
ランサムウェア
ランサムウェアグループ間の熾烈な戦い
ランサムウェアの攻撃件数やランサムウェアグループの数は増加し続けていますが、最近ではランサムウェア
グループ間の争いも激化しており、
RansomHub などのいくつかの RaaS(サービスとしてのランサムウェア)
グループにも影響が生じています。
2024 年下半期 | 4
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
序文
2025 年上半期に発生した脅威環境を見てみると、新たなソーシャルエ
ンジニアリング手法から高度なモバイル脅威の発生や、猛威を振るった
情報窃取型マルウェアの解体作戦など、サイバーセキュリティを取り巻
く環境は急速に変化しました。
この期間で最も注意すべき動向の 1つが、ClickFix と呼ばれる新たな詐
欺の手法が登場したことです。ESET のテレメトリによると、この手法
は2024 年下半期と比べて 500% 以上も急増しており、現在ではフィッ
シングに次いで 2番目に多く使われている攻撃手法となっています。
ClickFix の手法は、偽のエラーメッセージを表示してインターネット
ユーザーを騙し、不正なコマンドを実行させるものです。ClickFix 攻撃
の最終段階で使用されるペイロードは非常に多様であり、情報窃取型マ
ルウェア、ランサムウェア、さらには国家が関与するマルウェアも含ま
れています。ClickFix 攻撃は、Windows、Linux、macOS を標的にし
ており、その汎用性から極めて危険な脅威になっています。
また、情報窃取型マルウェアを取り巻く環境にも大きな変化がありま
した。Agent Tesla の勢いが失われた一方で、SnakeStealer(別名:
Snake Keylogger)が急速に台頭し、ESET のテレメトリにおいて最
も多く検出された情報窃取型マルウェアとなりました。さらに、ESET
は、最も拡散していたサービスとしてのマルウェア(MaaS)であった
Lumma Stealer やDanabot への大規模な解体作戦に参加して貢献し
ました。
Android の分野では、アドウェアの検出数が 160% も急増しました。こ
の主な要因は、Kaleidoscope と呼ばれる高度な新たな脅威が出現した
ことです。このマルウェアは「イービルツイン」という詐欺的な手法を
用い、正規アプリを装った偽アプリを配信します。これらのアプリは侵
入を目的とする広告を大量に表示し、デバイスのパフォーマンスを著し
く低下させます。同時に、NFC(近距離無線通信)を悪用した詐欺も
35 倍以上急増しました。これにはフィッシングキャンペーンや巧妙な
リレー攻撃の手法が関係しています。攻撃件数自体はまだ少ないものの、
この急増は、サイバー犯罪者が NFC テクノロジーを狙った攻撃に注力
し続けていること、そしてその手法が急速に巧妙化していることを浮き
彫りにしています。NGate、GhostTap、そして最近の SuperCard と
いった新たな NFC の脅威は、攻撃者が新たなセキュリティ対策に適応
し、その手法を変化させていることを示しています。
ランサムウェアの情勢は、さらに混乱を極めています。ライバル関係に
あるランサムウェアグループ間の争いが、最も広く悪用されているサー
ビスとしてのランサムウェアを提供する RansomHub など、複数のラ
ンサムウェアグループに影響を与えています。年間データを見てみると、
ランサムウェア攻撃や活動中のグループ数は増加しているにもかかわら
ず、身代金の支払額は大幅に減少しました。
2024 年に実施されたテイクダウン(解体作戦)や運営者が金を持ち逃
げする出口詐欺があり、ランサムウェアグループの再編があったことが、
この原因となっている可能性があります。また、「身代金を支払っても
データは復旧されないかもしれない」という不信感を被害者側が抱き始
めたことも一因と考えられます。
本書が読者の皆様に貴重な知見をもたらすことを願っています。
ESET 脅威防止ラボ、ディレクター
Jiří Kropáč
2025 年上半期の ESET 脅威レポートをご覧いただきありがとうございます。
ESET 脅威レポート
2025 年上半期 | 6
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
ClickFix:偽りのエラーメッセージから展開される
本当の脅威
攻撃手法 ソーシャルエンジニアリング
ClickFix と呼ばれる新しいソーシャルエンジニアリング手法が急速に広がっており、現在ではフィッシングに
次いで 2番目に多い攻撃手法となっています。
オンラインで「自分が人間であること」を証明する方法は多
くあります。不鮮明な文字を読み取って空白のフィールドに
入力するように求められたり、バス、信号機、階段などの画
像を選択したり、画像のパズルのピースを正しい場所にドラッ
グしたりするように求められる場合もあります。こうした
reCAPTCHA(リキャプチャ)による検証が多様化するにつれ、
ユーザーもこれらのプロセスに慣れるようになってきました。
デバイスで何かをコピー&ペーストするように求める新しい
形式のチャレンジに対して不信感を抱くユーザーは少なく
なっています。サイバー犯罪者は、まさにこの点に目をつけ
ています。Web でユーザーが最もフラストレーションを感じ
る機能を新たな侵入経路として悪用するようになったのです。
ClickFix とは、偽のエラーメッセージや検証メッセージを使っ
て、被害者に悪意あるスクリプトをコピーアンドペーストさ
せて実行させるという新たなソーシャルエンジニアリング攻
撃です。ClickFix 攻撃によってもたらされる脅威は日々拡大
しています。これらの脅威には、情報窃取型マルウェア、ラン
サムウェア、リモートアクセスのためのトロイの木馬(RAT)、
クリプトマイナー、ポストエクスプロイトツール、さらには
国家が支援している攻撃者が使用している独自のマルウェア
も含まれています。
ClickFix は、1年前はほとんど存在していませんでした
が、ESET が検出した ClickFix(HTML/FakeCaptcha) は、
2024 年下半期から 2025 年上半期にかけて 517% も増加しま
した。これは、最も急速に拡大している脅威の 1つであり、
ブロックされた全攻撃の約 8% を占め、攻撃タイプのトップ
10 でも 2位にランクインしています。
ただし、ClickFix 攻撃は複数のステージで構成されており、
コピーされた PowerShell コマンドやスクリプト、実行ファ
イル、悪意ある「エンベロープ」、最終的なペイロードなどが
この攻撃に含まれています。これらの各攻撃は異なるマルウェ
ア名で検出されているため、HTML/FakeCaptcha の検出数
よりも多く、この脅威は拡散していると考えられます。ESET
のテレメトリで最も多くこの脅威の検出が報告された国は、
日本(23%)であり、次いでペルー(6%)、そしてポーランド、
スペイン、スロバキア(5%)となっています。
ClickFix が最初に登場したのは 2024 年3月であり、Proofpoint
によって報告されたキャンペーンで、ClearFake および 被害者のデバイスで悪意のあるコマンドを貼り付けて実行させるように指示する偽の reCAPTCHA チェック
2024 年下半期〜 2025 年上半期の HTML/FakeCaptcha の検出傾向、7日移動平均線
ESET 脅威レポート
2025 年上半期 | 7
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
TA571 によって使用されていました。このキャンペーンで
は、フィッシングメールに添付された悪意ある HTML ファイ
ルが使用されており、これらのファイルを開くと Microsoft
Word やOneDrive を装ったページが表示されます。その
ページには、「エラーが発生しており、コンテンツにアクセ
スするには修正が必要です」などの虚偽のポップアップが
表示されます。被害者は「修正」ボタンをクリックするよ
うに誘導されます。その操作によって PowerShell コマンド
がクリップボードにコピーされます。そして、PowerShell
ターミナルを開いてそのコマンドを貼り付けて実行するよう
指示されます。このコマンドを実行しても、エラーは修正
されず、一連の攻撃チェーンが開始され、別の悪意あるス
クリプトがダウンロードおよび実行されます。最終的には、
ダークウェブでサービスとして提供されている DarkGate や
Matanbuchus マルウェアに感染します。
2024 年末までには、同じソーシャルエンジニアリング手法
を用いた攻撃が Web に氾濫するようになりました。攻撃者
は、Booking.com やGoogle Meet といった人気のサービ
スを模倣した偽の Web サイトを作成したり、正規の Web
サイトを改ざんして偽のブラウザアップデート通知、偽の
Cloudflare 認証、reCAPTCHA チェックを表示したりして
います。また、ClickFix ページへ誘導するリンクが含まれ
るメールキャンペーンも利用されています。最新の「ESET
APT 活動レポート」によると、北朝鮮とつながりのある
DeceptiveDevelopment グループもこのソーシャルエン
ジニアリング手法を利用しており、GitHub で人気のある
リポジトリに Issue(問題)を故意に作成し、その問題に対
する Fix(修正)を提案する方法を用いて、このグループの
WeaselStore マルウェアを配信していました。
ClickFix の手法が非常に効果的であることから、サイバー攻
撃者は最近、ClickFix による攻撃が組み込まれたランディン
グページを提供するツールを別の攻撃者に販売している事例
も報告されています。
ClickFix の亜種が増えるにつれ、この手法によって配信され
る脅威の種類も多様化しています。現在、この手法によっ
て配信される脅威には、Lumma Stealer、Vidar Stealer、
StealC、Danabot など広く拡散している情報窃取型マルウェ
ア、
VenomRAT、AsyncRAT、NetSupport RAT などのリモー
トアクセスのためのトロイの木馬(RAT)、 MeshAgent など
のリモート監視・管理ツール、Havoc やCobalt Strike など
のポストエクスプロイトフレームワーク(侵害した後に攻撃
を続行するためのフレームワーク)、クリプトマイナー、ロー
ダー、クリップボード乗っ取りツールなどがあります。さら
に、
2025 年初頭には、Interlock(旧 Rhysida)ランサムウェ
アを展開しようとする攻撃も確認されました。
国家の支援を受けている攻撃者もこの手法にすぐに飛びつ
いており、初期アクセスを獲得する手段として ClickFix の
ソーシャルエンジニアリング手法をツールセットに組み込ん
でいます。最初に動いたグループは、北朝鮮とつながりのあ
るKimsuky、Lazarus、DeceptiveDevelopment であり、
Windows、Linux、macOS のユーザーを標的にこの攻撃を
仕掛けています。その後、他の国家の支援を受けている攻撃
グループも次々と追随するようになりました。これらのグ
ループには、ロシアとつながりのある Callisto とSednit、イ
ランとつながりのある MuddyWater、パキスタンとつなが
りのある APT36 が挙げられます。
影響を受けているのは主に Windows ユーザーですが、
macOS やLinux ユーザーも標的となっています。macOS
では、ClickFix キャンペーンを通じて AMOS Stealer が配
信されたという報告があります。Linux では、APT36 が偽の
CAPTCHA ページへユーザーをリダイレクトし、そのページ
でAlt+F2 ショートカット(多くの Linux ディストリビュー
ションでコマンド実行ダイアログを開く機能)を使って、悪
意あるコードを実行させるように誘導していました。
しかし、ある侵害のケースでは、攻撃者のサーバーから隠さ
れた JPEG ファイルを取得し、バックグラウンドで開く処理
だけが行われており、実際の損害が生じたり、他の悪意ある
行動が実行されたりしていませんでした。
前述のように、ClickFix 攻撃は複数の段階でセキュリティソ
リューションによって阻止される可能性があります。この攻
撃には、悪意のあるまたは侵害された Web サイトの URL、
HTML 形式のメール添付ファイル、HTA ファイル、JavaScript
ファイル、PowerShell スクリプト、およびペイロードの配信
に使用されるコマンドラインプログラムなどが含まれ、それぞ
れがセキュリティソリューションによって検出される場合が
あります。信頼性の高いセキュリティソリューションであれ
ば、攻撃者がセカンダリペイロードを難読化または隠蔽する
際に使用する「エンベロープ」ファイル(ESET では Win/
Kryptik やWin/GenKryptik として検出)をブロックできる
だけでなく、メモリ上での不審な挙動や、外部へのデータ送
信といった攻撃の兆候を示すネットワーク動作を検知・識別
することもできます。ユーザー側も、「ワンクリックで修正
可能」や「コピーアンドペーストで解決できる」といった形で、
よく分からない問題に対して安易な解決策を提示された場合に
は、常に警戒を怠らないことが大切です。企業は、
EDR(Endpoint
Detection and Response)ツールを活用して、PowerShell の
異常な使用状況を検知できます。特に、通常使用する必要が
ないマシンで PowerShell の実行を検知できれば、このよう
な攻撃を可視化して防御する能力を高めることができます。
ESET のエキスパートの解説
ESET のテレメトリデータによれば、ClickFix はサイバー犯罪者によって最も多く利用される侵入手法の
1つとして急速に台頭しています。この新たなソーシャルエンジニアリング手法が効果を発揮している理
由は、手順が非常にシンプルで被害者が容易に指示に従ってしまうこと、架空のエラーにもかかわらず「本
当に修正できそうだ」と思わせる信ぴょう性の高さ、そしてユーザーがコマンドの内容を十分に確認しな
いという心理的な盲点を巧みに突いている点にあります。この ClickFix の手法は、結果が出ることがわ
かれば、攻撃者が新しい手法をすぐに取り入れる実態を示しています。ClickFix の悪用が広まっているこ
とから、Microsoft、Apple、さらにはオープンソースコミュニティが、Word やExcel のマクロやインター
ネットから取得したファイルに対して表示されるような警告と同様の仕組みを、今後導入する可能性も考
えられます。例えば、「潜在的に危険なスクリプトを実行しようとしています」などの警告をユーザーに
表示する対応が検討されるかもしれません。
ESET シニア検出エンジニア、Dušan Lacika
ESET 脅威レポート
2025 年上半期 | 9
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
大規模に拡散した情報窃取型マルウェアの
解体作戦
情報窃取型マルウェア
ESET は、悪名高い 2つの情報窃取型マルウェア「Lumma Stealer」と「Danabot」の解体作戦に
参加しました。
最近では世界的にも暗く不穏なニュースが目立っていますが、
気分を変えて明るい話題についても紹介します。数か月にわ
たる法執行機関と ESET などのサイバーセキュリティ企業の
連携の努力が結実し、広く拡散していた 2つの情報窃取型マ
ルウェアが捜査機関によって解体されました。「サービスと
してのマルウェア(MaaS)」として猛威を振るった Lumma
Stealer と、深刻な悪影響を及ぼしてきた同じ MaaS 型の
Danabot、この 2つの情報窃取型マルウェアの大半のインフ
ラが、2025 年5月に当局によってテイクダウンされました。
このセクションでは、これら 2つの解体作戦の概要と、ESET
のテレメトリから得られた最新データを紹介します。これら
の最近のイベントに関する詳細な調査とレポートについては、
WeLiveSecurity に掲載されている Lumma Stealer および
Danabot に関するブログをそれぞれ参照してください。
Lumma Stealer、ついに終焉か?
2024 年下半期の ESET 脅威レポートで、Lumma Stealer が
かつてないほど拡散したことを取り上げてからわずか半年後、
この MaaS の巨頭に転機が訪れました。2025 年5月、ESET
はMicrosoft、BitSight、Lumen、Cloudflare、CleanDNS、
GMO ドメインレジストリとともに、Lumma Stealer の解体
を目的とした国際的な作戦に参加しました。この作戦では、
過去 1年間に確認されたすべての Lumma Stealer のC&C
サーバーを標的とし、情報窃取に使われていたネットワーク
の大部分を無力化することに成功しました。ESET はこの解
体作戦において、技術的な分析や統計情報を提供しました。
ESET は、自動分析システムを活用し、数万件におよぶマルウェ
アの検体から C&C サーバーの情報やアフィリエイトの識別
子など、重要なデータを抽出しました。
2025 年上半期の Lumma Stealer の検出傾向、7日移動平均線
サービスとしてのマルウェア
ESET 脅威レポート
2025 年上半期 | 10
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
ESET のテレメトリデータを見ると、Lumma Stealer は無
力化される前の 2025 年上半期では、2024 年下半期よりも
多い活動が確認されていました。Lumma Stealer の検出数
は21% 増加しており、4月11 日には主にメキシコを標的と
したスパムメールキャンペーンの影響で、攻撃の試行回数が
その日だけで攻撃数全体の 40% 以上を占めるなど、急増も
確認されました。今回のテイクダウンは本脅威レポートの対
象期間の終盤に実施されましたが、すでに Lumma Stealer
の検出数が減少傾向にあることが確認されています。
この解体作戦の一環として実施した詳細な調査では、サイバー
攻撃者による水面下における活動がいかに活発であったこと
が明らかになりました。2024 年6月17 日から 2025 年5月
1日までの間に、ESET は3,353 件の新たなユニーク C&C ド
メインを確認していますが、これは週平均で約 74 件に相当
します。また、この期間中にマルウェアコードが定期的に更
新されていることも観測されており、Lumma Stealer が極
めて活発な脅威であったことを示しています。このことから
も、この脅威を無力化することがどれだけ重要であったかが
分かります。
ESET のテレメトリは、Lumma Stealer がClickFix 型のソー
シャルエンジニアリング攻撃(前章で説明)に使用される
トロイの木馬「HTML/FakeCaptcha」の主要なペイロード
であったことも示しています。この手法はこれまでは主に
Lumma Stealer の配信に用いられていた可能性があります
が、今ではさまざまな他の脅威に転用されています。したがっ
て、今回の解体作戦が FakeCaptcha やその他の ClickFix 攻
撃の亜種に与える影響は、おそらく一時的なものにとどまる
と考えられます。
Danabot の崩壊
Lumma Stealer のテイクダウンからわずか数日後、悪名高
い情報窃取型マルウェアである Danabot も報いを受けるこ
ととなりました。FBI および米国国防総省の国防犯罪捜査
局(DCIS)が主導し、Europol(欧州刑事警察機構)およ
びEurojust(欧州司法協力機構)も参加した「Operation
Endgame(エンドゲーム作戦)」でDanabot が対象となり
ました。
この解体作戦には、ESET のほか、Amazon、CrowdStrike、
Flashpoint、Google、Intel471、PayPal、Proofpoint、
Team Cymru、Zscaler、そして世界各国の法執行機関が参
加しました。今回のテイクダウンは、関係者による数年にわ
たる尽力の集大成であり、ESET は2018 年から既にこの作戦
に関与していました。ESET は、Danabot についての技術的
分析やバックエンドインフラの解明、C&C サーバーの特定な
どで貢献しています。さまざまな組織が連携したこの作戦に
より、Danabot のインフラの大部分が無力化され、マルウェ
アに大きな打撃を与える結果となりました。
ESET のエキスパートの解説
Lumma Stealer の解体作戦は、確かに成功したと言えます。このマルウェアは今回の作戦によって技
術的に大きな打撃を受け、一定期間にわたり活動不能に追い込まれました。現在、サイバー攻撃者が
ロシアに設置された DNS サーバーを使って Lumma Stealer インフラの再構築を始めている兆候は見
られますが、このサイバー犯罪グループの評判は間違いなく失墜しました。Lumma Stealer が継続
的に成功を収めてきたのは、アフィリエイトから信頼されてきたことが大きな要因でした。Lumma
Stealer がインフラの再構築に成功したとしても、多くのユーザー(アフィリエイト)は他の情報窃取
型マルウェアに乗り換えてしまう可能性があります。そのため、
Lumma Stealer のオペレーターにとっ
て最も現実的な選択肢は、サービスを完全にリブランディングすることでしょう。
ESET マルウェアアナリスト、Jakub Tomanek
2025 年上半期の Danabot の検出傾向、7日移動平均線
ESET 脅威レポート
2025 年上半期 | 11
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
Danabot はDelphi で記述された情報窃取型マルウェアで、Lumma Stealer と同
様に「サービスとしてのマルウェア」として運用されています。このマルウェアは
地下フォーラムでレンタル可能で、アフィリエイトは多様なツールを使って自らの
ボットネットを構築・管理できます。
サイバー犯罪者は Danabot をさまざまな方法で使用しています。Danabot は、キー
ロギング、画面録画、ファイル窃取といった通常の情報窃取機能に加え、侵害した
システムにランサムウェアなどの他のマルウェアを配信する手段としても使用され
ています。これまでに、LockBit、Buran、Crisis といったマルウェアが Danabot
から配信されていることが観測されています。さらに、Danabot によって侵害され
たマシンは、DDoS 攻撃の発信元としても利用されていました。
このマルウェアは多岐にわたる方法で配信されています。フィッシングメールへの
添付ファイルとして拡散しているだけでなく、他のマルウェアによって配信された
り、Google 検索結果の悪意あるスポンサー付きリンクから配信されたりする場合
もあります。最近では ClickFix によって Danabot が配信されるようになっていま
す。これは、技術的な偽の問題をユーザーに表示し、「解決策」としてターミナル
ウィンドウでコマンドを実行するよう誘導する手法ですが、そのコマンドには悪意
ある PowerShell コードが含まれており、最終的に Danabot がダウンロードされ
ます。
ESET のテレメトリデータによると、Danabot の拡散規模は Lumma Stealer には
及ばないものの、依然として MaaS として広く展開されています。ESET はこの情
報窃取型マルウェアを長年追跡しており、多数の異なる検体を分析するとともに、
1,000 件以上のユニーク C&C サーバーを特定しています。テイクダウン前には、
Danabot の活動は活発化しており、2025 年上半期には 50% 以上の増加が見られ
ました。この期間に Danabot の攻撃を最も多く受けた国は、アメリカ(44%)とポー
ランド(29%)でした。前ページの傾向データに示されているように、インフラを
解体してから、Danabot の検出件数は減少傾向にあります。
クリップボードにコピーされた悪意のあるコードを実行するようにユーザーを誘導する Web サイト
ESET 脅威レポート
2025 年上半期 | 12
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
SnakeStealer、
検出数のトップに躍り出る
情報窃取型マルウェア
Agent Tesla の開発者がマルウェアの運用を停止したことにより、ESET のテレメトリデータにおいて、
SnakeStealer が最も多く検出された情報窃取型マルウェアとなりました。
数年間にわたって ESET の情報窃取型マルウェア統計でトッ
プの座にいた Agent Tesla ですが、その時代はついに終わり
を迎えたようです。2024 年下半期には、Agent Tesla はすで
にWin/Formbook に首位の座を奪われ 2位に転落してお
り、その後も検出数は下落傾向が続いています。現在は 4位
まで後退しており、2025 年上半期の検出数は前期と比べて
57% 減少しました。この悪名高いサービスとしてのマルウェ
ア(MaaS)を開発していたサイバー攻撃グループの主張によ
ると、衰退の理由は至って単純で、「情報窃取型マルウェアの
ソースコードが保存されていたサーバーにアクセスできなく
なったため、開発を無期限で停止することを決定した」とい
うものです。そのため、Agent Tesla の検出数は急激ではな
く徐々に減少しています。Agent Tesla は完全に消滅したわ
けではなく、新しいバージョンが開発されていないだけです。
Agent Tesla がゆっくりと衰退する中で、新たな脅威がその
後継として台頭しています。ESET がMSIL/Spy.Agent.AES
トロイの木馬として追跡している SnakeStealer という名前
の別の MaaS の脅威が、現在 ESET のテレメトリデータで最
も多く検出されている情報窃取型マルウェアとなっています。
実際、Agent Tesla のオペレーターが管理する Telegram チャ
ネルで、SnakeStealer が代替候補として推奨されていたこと
もありました。このような推奨が、SnakeStealer が成功した
鍵となった可能性があります。SnakeStealer の検出数が急増
し始めた 2024 年7月末のタイミングは、Agent Tesla の開
発が停止した時期と一致しています。
SnakeStealer は、Snake Keylogger や404 Keylogger とも
呼ばれる、2019 年に初めて登場した .NET 対応言語で記述さ
れたマルウェアです。Telegram グループを通じて販売され
ており、キー入力の記録、保存された認証情報の窃取、スク
リーンショットの取得、クリップボードデータの収集などの
機能を備えています。
サービスとしてのマルウェア
Telegram チャネルで SnakeStealer を推奨する Agent Tesla のメンバー
2024 年下半期〜 2025 年上半期の SnakeStealer とAgent Tesla の検出傾向、7日移動平均線
ESET 脅威レポート
2025 年上半期 | 13
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
収集されたデータは、FTP、SMTP、Telegram ボット経由
で外部に送信されます。このマルウェアは、主にフィッシン
グメールに添付される悪意あるファイルで拡散されます。
SnakeStealer のオペレーターは、追加機能を提供する高額な
VIP 版も提供しています。これら 2つのバージョンは技術的
に酷似しているため、ESET は両方を MSIL/Spy.Agent.AES
として検出しています。
ESET のテレメトリデータでは、SnakeStealer は2025 年上
半期に検出された情報窃取型マルウェア全体の約 5分の 1を
占めるまで増加しています。年末年始の休暇による一時的な
落ち着きの後、1月中旬以降に検出数が再び継続的に増加し
ており、2024 年下半期から 2025 年上半期にかけて、検出数
は2倍以上になっています。特に 2025 年の春には 3回連続
でメールキャンペーンが実施され、3月25 日、4月3日、4
月9日にかけて、それぞれ検出数が大きく急増しました。こ
れらの各日付では、1日あたり 6,000 件以上の検出数があり
ました。SnakeStealer の攻撃試行が最も多かった国は、トル
コ(15%)、日本(13%)、スペイン(11%)でした。
SnakeStealer を配信するファイルが添付されたフィッシングメールの例(機械翻訳の日本語訳:お疲れ様です。添付された注文の処理が完了しているかご確認ください。
どうぞよろしくお願いいたします。)
ESET のエキスパートの解説
SnakeStealer がAgent Tesla に代わって主流の情報窃取型マルウェアとなる可能性は十分にありま
す。しかし、これらのマルウェアは競争が非常に激しく、この地下市場には他にも多くの有力な情報
窃取型マルウェアが存在します。その一例が Pure Logs と呼ばれる情報窃取型マルウェアです。Pure
Logs も、Agent Tesla の更新が停止されて以降、検出数が増加しています。一方、口コミの影響力も
軽視できません。実際、ダークウェブでは複数の人物が SnakeStealer をAgent Tesla の代替マルウェ
アとして推奨していることを ESET は確認しています。しかし、SnakeStealer が数多くある競合マル
ウェアの中で特に際立って優れているというわけではありません。
ESET マルウェアアナリスト、Jakub Kaloč
SnakeStealer のキャンペーンは、中央および東ヨーロッパを
標的としています。監視対象国の中では、ポーランドとラト
ビアで攻撃試行が特に多くなっています。2025 年の 1月から
4月に、標的を明確に絞っている攻撃や、信頼されるよう巧
妙に偽装された高度な攻撃だけを数えた場合、ラトビアでは
約5,000 件、ポーランドでは 18,000 件以上の攻撃が確認さ
れています。
これらのキャンペーンでは SnakeStealer は、Cassandra
Protector または Pure Crypter でパッキングされており、
ESET はそれぞれトロイの木馬「MSIL/Kryptik」お よ び「 MSIL/
TrojanDownloader.Agent」としてこのマルウェアを検出し
ています。一般的な攻撃手法としては、被害者に ISO ファイ
ルを添付したメールが送信され、その ISO ファイルに含まれ
るPure Crypter の実行ファイルが、SnakeStealer をダウン
ロード、復号、実行します。
ESET 脅威レポート
2025 年上半期 | 14
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
Android デバイスに
大量の広告を表示する
Kaleidoscope とその
イービルツインの仕組み
Android のアドウェアの検出数が 160% も急増しましたが、これは、新しいイービルツイン(悪魔の双子)
の詐欺と、望ましくないアプリケーション(PUA)が増加したことが要因です。
Kaleidoscope は、高度な新たな Android の脅威であり、イー
ビルツインアプリと呼ばれる手口を用いて、デバイスに大量
の迷惑広告を表示します。「万華鏡」を意味するその名前から
は、一見カラフルで無害な印象を受けますが、実際には広告
主やアプリストアを巧妙に欺くアドウェアです。
Kaleidoscope は、IAS Threat Lab が特定した Android ベー
スの広告詐欺です。サイバー犯罪者は、同じアプリのほぼ同
一の 2つのバージョンを作成します。一方は正規のアプリス
トアから配信される無害な「おとりのツイン」であり、もう
一方はサードパーティのアプリストアから配信される悪意あ
るバージョン(イービルツイン)です。イービルツインは、
迷惑広告を強制的に表示して、不正に広告収益を得るよう設
計されています。
ESETは、この脅威を Android/TrojanDropper.Agentの.MPP
亜種として検出しますが、これは Android アドウェア全体の
検出数の 28% を占めています。Kaleidoscope は、毎月世界
中の多数の Android ユーザーに影響を与えています。ESET
のテレメトリによれば、被害が多く見られるのは中南米、ト
ルコ、エジプト、インドなど、サードパーティのアプリスト
アが多く利用されている地域です。これらの地域のユーザー
は、意図せずにイービルツインアプリをインストールし、迷
惑広告の表示やデバイスパフォーマンスの低下といった被害
を受けています。
Kaleidoscope が採用しているイービルツインの手法は、巧
妙な詐欺の手法です。以下の 4つのセクションでその具体的
な手順について解説します。
Android アドウェア
2025 年上半期の Kaleidoscope の検出傾向、7日移動平均線
2025 年上半期における Kaleidoscope 検出の地理的な分布
20
%
0%
ESET 脅威レポート
2025 年上半期 | 15
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
おとりのツインの作成
最初に攻撃者は、正規のアプリ(おとりのツイン)を公式ア
プリストアにアップロードします。このアプリはシンプルな
パズルゲームやユーティリティアプリなどになっており、無
害です。そして、公式ストアから提供されているため、ユーザー
はこのアプリを信頼します。
イービルツインの作成
次に、攻撃者は同じアプリの別バージョンを作成しますが、
このバージョンはイービルツイン(悪意のあるツイン)です。
このバージョンは、同じアプリ名と一意の識別子(アプリ ID)
を使用しているものの、不正な広告インプレッションを生成す
るための追加コードが組み込まれています。これらの不正な
広告は、ユーザーがアプリを使用していないときでも突発的に
表示され、ユーザーにとって非常に煩わしい存在となります。
イービルツインの配信
公式アプリストアでは、既知のマルウェアはブロックされる
ため、攻撃者はこのイービルツインアプリをサードパーティ
のアプリストアや Web サイトから配信します。攻撃者は、
偽の広告や魅力的なオファーを使って、公式アプリストアに
ある正規のアプリだとユーザーに信じ込ませ、最終的にイー
ビルツインのバージョンをダウンロードさせるケースが多く
あります。
イービルツインとおとりのツインをつなぐ仕組み
Kaleidoscope が成功を収めている理由は、イービルツイン
が正規のおとりのツインであるかのように「装っている」方
法にあります。両方のツインは、同じユニークなアプリ ID
を共有しているため、広告主や自動システムからは同一の正
規アプリとして認識されます。その結果、イービルツインが
生成する不正なトラフィックは、無害な正規バージョンから
発生しているように見えます。実際には、イービルツインに
よって許可されていない形で広告が不正に表示されており、
広告主は本来支払う必要のない広告表示に対して金銭を搾取
されています。
簡単に言えば、イービルツインアプリは、正規アプリの ID
を盗み、広告収益を不正に得る仕組みです。表示される広告
は一見正当のように見えますが、実際にはユーザーを騙して
強制的に表示されます。
興味深いことに、イービルツインアプリのアイコンは、おと
りのツインとは大きく異なる場合があります。たとえば、イー
ビルツインには名前のない白い円のアイコンが使われている
のに、おとりのツインには通常のアプリアイコンが設定され
ていることがあります。
アプリを起動した際の動作も異なります。例えば、「Birds on
a Wire」というゲームの場合、おとりのツインのアイコンを
タップすると実際にゲームが起動しますが、白いアイコンの
イービルツインをタップすると「アプリ情報」の画面が表示
されるだけで、ユーザーインターフェースは表示されません。
両方のアプリを右の画像に表示しています。
Kaleidoscope はまったく新しい手口を取り入れているわ
けではありません。Kaleidoscope は、過去に特定されて
いる Konfety と呼ばれる似た詐欺から進化したものです。
Konfety は、CaramelAds という広告フレームワークを悪用
していましたが、Konfety が摘発された後、攻撃者は手口を
変更しました。CaramelAds への参照を削除し、新しい名前
のソフトウェア開発キット(SDK)を使って「リブランディン
グ」したソフトウェアツールを構築したのです。これらの新
しい SDK により、Kaleidoscope は検出を回避しながら活動
を続けており、環境の変化に応じて手法を進化させる能力が
あることを示しています。
ユーザーは、このイービルツインの詐欺の仕組みを理解する
こと、常に公式ストアからのみアプリを入手すること、不審
なアプリの動作に注意すること、アプリの権限は慎重に管理
することによって、自分自身を守ることができます。
おとりのツインのアイコンをタップすると「Birds on a Wire」ゲームが起動する
(上図)。一方、白いイービルツインのアイコンをタップすると、ユーザーインター
フェースは表示されず、「アプリ情報」画面が単に表示される(下図)。
「Birds on a Wire」のおとりのツインは正規のアプリのアイコンになっており、
イービルツインのアイコンは白い円になっている
ESET 脅威レポート
2025 年上半期 | 16
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
モバイルユーザーを標的に
広告収益を狙う脅威
2025 年上半期に ESET は、広告収益を目的とした 2つのタ
イプの Android 脅威(アドウェアとクリッカー)の検出数が
大幅に増加していることを観察しました。両方の脅威を合わ
せた検出数は 160% 増加しており、Android 全体の脅威検出
の増加率(50%)を大きく上回っています。アドウェアは、
ユーザーのデバイスに勝手に広告を表示し、クリッカーは、
ユーザーの知らないうちに広告を自動的にクリックし、不正
な広告から収入を得ます。インストール後に自身を隠蔽する
「隠しアプリ」という 3つ目のカテゴリも存在します。これ
も迷惑な広告を表示するなどの悪意のある動作を行いますが、
この期間中に検出数は 60%減少しました。アドウェア、クリッ
カー、隠しアプリを合わせると、2025 年上半期の Android
のすべての脅威の検出数の 48% を占めています。
このような動作を行うアプリの中には、ESET によって望ま
しくないアプリケーション(PUA)と分類されるものもあり
ます。PUA は必ずしもマルウェアの定義に一致するわけでは
ありませんが、過剰な広告表示、デバイスの動作遅延、バッ
テリーの消耗、許可されないデータ収集などのユーザーにとっ
て迷惑または有害となる動作を行うことがあり、ユーザーエ
クスペリエンスに悪影響を及ぼし、プライバシーやセキュリ
ティリスクを生じさせる恐れがあります。
ESET Mobile Security は、PUA をブロックするかどうかを
ユーザーが柔軟に選択できます。この設定は、PUA による一
部の迷惑な挙動を許容してでも、アプリの主な機能を利用し
たいと考えるユーザーに配慮したものです。しかし、ESET
はデバイス、プライバシー、セキュリティを保護するため、
PUA の検出機能を有効にすることを強く推奨しています。
2024 年下半期〜 2025 年上半期の Android アドウェア、クリッカー、隠しアプリの検出傾向、7日移動平均線
ESET 脅威レポート
2025 年上半期 | 17
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
NGate から GhostTap、
そしてリレー攻撃へと
進化した NFC 詐欺
NFC を悪用した詐欺は、フィッシングキャンペーンや巧妙なリレー手法により、
35 倍以上増加しました。
NFC(近距離無線通信)テクノロジーは、何百万人ものユー
ザーの決済方法や銀行アプリの利用方法を大きく変えてきま
した。スマートフォンをかざしたり、非接触型カードをタッ
プしたりするだけで、店頭での支払いや ATM での引き出し
がわずか数秒で完了します。NFC は、スマートフォンと決済
端末のような 2つのデバイスを近づけることで通信するテク
ノロジーです。Google Pay やApple Pay などのスマフォ決
済アプリは、NFC を利用して、ユーザーがスマートフォンや
スマートウォッチを決済端末にタップするだけで支払いを行
えるようにしています。
正規の手段で使用すれば、NFC は磁気ストライプなどの従来
の方式と比べて、より迅速かつ安全に決済できる手段となり
ます。しかし残念ながら、サイバー犯罪者も NFC に目をつけ、
このテクノロジーを悪用する高度で特殊なマルウェアや新た
な詐欺の仕組みを次々と生み出しています。
ESET のテレメトリによると、NFC 関連の詐欺は、2024 年
下半期と比較して 2025 年上半期に 35 倍以上増加しました。
前回のレポート期間(「2024 年上半期の ESET サイバーセ
キュリティ脅威レポート 」の期間)では、NFC 関連の脅威
の検出数は週に 1件程度にとどまり、この詐欺の影響も一部
の地域の僅かなカード保有者に限定されていました。しかし
2025 年上半期には、この脅威の検出数は週あたり数十件に
まで増加しました。全体の件数は依然として少ないものの、
この急増は、サイバー犯罪者が手口を急速に進化させている
こと、そして NFC テクノロジーを標的にし続けていること
を明確に示しています。
Android NFC 詐欺
2024 年下半期〜 2025 年上半期の NFC 関連の Android マルウェアの検出傾向、7日移動平均線
2025 年上半期における NFC 関連の Android マルウェア検出の地理的な分布
19%
0%
ESET 脅威レポート
2025 年上半期 | 18
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
NGate:最初の NFC マルウェア
2024 年に ESET の研究者は、新たなモバイル脅威を報告し、
NGate と命名しました。このマルウェアが一度被害者のデバ
イスにインストールされると、攻撃者は被害者の NFC 対応
決済カードからの信号を、侵害されたスマートフォンを介し
て自らが管理するデバイスにリレーし、リモートから ATM
で現金を引き出すことが可能になります。これは、モバイル
マルウェアが NFC のデータリレー機能を悪用して、被害者
の銀行口座から直接金銭を窃取することに成功した最初の事
例の 1つとされています。
当時、NGate は、チェコ、ポーランド、ハンガリー、ジョー
ジアの特定銀行の顧客を主な標的としていました。NGate は、
最初は学術的な目的で開発されたオープンソースツールであ
るNFCGate を悪用しています。NFCGate を使用するとユー
ザーは、デバイス間の NFC データを取得、解析、改変する
ことができますが、その機能に目を付けたサイバー犯罪者は、
これを悪用して不正な目的に転用しています。
その後、ESET のテレメトリではロシア、ドイツ、チリでも
NGate が検出されています。
GhostTap:デジタルウォレットを狙う
リレー攻撃
残念ながら、NGate の成功を受けてサイバー攻撃者はさらに
この手法を進化させました。GhostTap と呼ばれる新しい手
口では、サイバー犯罪者は盗み取ったカードデータを Google
Pay やApple Pay などのデジタルウォレットに保存して秘密
裏に悪用します。犯罪者は、本物のように見せかけたフィッ
シングメッセージを用いて、被害者に自分のカード情報を偽
のWeb サイトで入力させたり、カード情報をデジタルウォ
レットに登録する際に必要となるワンタイムパスコードを共
有させたりします。これにより攻撃者は、窃取したカード情
報とコードを使って、自分の Apple または Google ウォレッ
トにそのカードを不正に登録します。これで攻撃者は、不正
に登録したウォレットを使って世界中の非接触型の決済端末
で不正に代金を支払うことが可能になります。
GhostTap を悪用する攻撃者は、不正にカードを登録したデ
ジタルウォレットを搭載したモバイルデバイスを NFC 対応
の決済端末にかざすことで、正規の取引のように装い実行し
ます。この手口は従来のセキュリティチェックを巧みにすり
抜け、攻撃者が短時間で不正利益を得ることを可能にします。
GhostTap は、NFC を悪用した詐欺を大規模に拡散させる典
型的な手口です。犯罪者は盗み取ったカード情報を読み込ん
だ多数の Android 端末を用意し、不正取引を自動化していま
す。すでに複数の銀行や加盟店が、GhostTap に起因する不
正取引による被害を受けていることが確認されています。
GhostTap ツール
中国語を使用するいくつかのサイバー犯罪グループは、
Telegram およびダークウェブ市場で GhostTap ツールを積
極的に宣伝しています。犯罪者は現在、米国、英国、オース
トラリア、カナダ、UAE、サウジアラビアの金融機関を標的に、
不正取引を自動化した大規模な NFC 詐欺を実施しています。
SuperCard X:商業的な目的で
運営されるマルウェア
今年、Cleafy の研究者は、SuperCard X と呼ばれる新たな
脅威を報告しました。このマルウェアと NGate ではコードが
大きく重複しています。SuperCard X は、高度なソーシャル
ロシア連邦中央銀行のアプリを装っており、ESET によって Android/NGate と
して検出される悪意のあるアプリ
ESET 脅威レポート
2025 年上半期 | 19
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
エンジニアリング攻撃によって拡散されています。被害者は、
銀行のセキュリティアラートを装ったもっともらしい SMS
メッセージを受け取ります。このメッセージは、銀行担当者
になりすました攻撃者に電話するように促す内容となってい
ます。電話をかけると、犯罪者は被害者を巧みに信頼させ、
セキュリティツールのように偽装した悪意あるアプリをイン
ストールするように指示します。
被害者がこのアプリをインストールすると、支払いカードを
侵害されたスマートフォンにかざした際に、SuperCard X は
NFC データを密かに傍受し、その情報を即座に攻撃者が管理
する別のデバイスへ転送します。犯罪者はこの情報を利用し
て、店頭で非接触型決済を行ったり、ATM からの不正に出金
したりします。
従来の NFC 攻撃と異なり、SuperCard X はサービスとして
のマルウェア(MaaS)のビジネスモデルを採用しており、
高度なスキルがないサイバー犯罪者でも簡単に NFC 詐欺ツー
ルを入手して展開できるようになっています。SuperCard X
は、被害者のスマートフォンにインストールするリーダーア
プリと、攻撃者が管理するタップアプリの 2つの Android ア
プリを犯罪者に提供しています。これらの 2つのアプリは、
保護されている C&C(コマンド &コントロール)サーバー
を介して通信し、被害者から攻撃者へ NFC データをシーム
レスかつリアルタイムにリレーします。
SuperCard X の重要な新機能の 1つは、最低限の機能のみを
実装する設計になっており、基本的な NFC 権限のみを要求
することです。通常のモバイルバンキングマルウェアとは異
なり、SuperCard X は広範な権限を要求することがなく、無
害な NFC アプリのように扱われることから、検出が困難に
なっています。さらに、高度な暗号化手法で通信データを保
護しており、セキュリティ研究者やセキュリティツールによ
る悪意のあるトラフィックの解析と検出を困難にしています。
これらの巧妙な手法によって、SuperCard X はこれまでにな
いレベルの洗練された脅威へと進化しています。
SuperCard X は、被害者が侵害されたスマートフォンに支払いカードをかざす
ときに NFC データを取得する
ESET のエキスパートの解説
NFC 詐欺の手口は進化を続けており、攻撃者が新たなセキュリティ対策に適応していることを示しています。たとえ多要素認証やリアルタイムのトランザク
ション監視となどの高度なセキュリティソリューションを導入している場合でも、カードデータが物理的に数秒でリレーされるような攻撃には対処が難しいの
が実情です。一方で、巧妙に設計されたマルウェアのインターフェースと、高度に組織化されたスミッシング(SMS フィッシング)攻撃が組み合わさることで、
一般ユーザーが詐欺に気づくことはますます困難になっています。
このような犯罪手法は今後さらに進化することが予想されます。すでに一部のグループは、NFC 情報の窃取とスミッシング、コールセンター詐欺などを組み
合わせた手口を用いて、被害者を巧妙にだまし続けています。しかし、金融機関、デバイスメーカー、サイバーセキュリティコミュニティも、こうした脅威を
注意深く監視して、対応を進めています。カードの所有者もセキュリティ意識を高め、知識を得ることでこのような詐欺に対抗できます。アプリは公式アプリ
ストアからのみダウンロードする、アプリのアクセス権限を必ず確認する、不審なリンクは開かない、カードをスマートフォンで読み込む前に、その操作が正
当であると確信できる状況かどうかを確認するなど、基本的な対策を徹底し、攻撃の大部分を防ぐことができます。
ESET シニアマルウェア研究者、Lukáš Štefankoč
ESET 脅威レポート
2025 年上半期 | 20
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
ランサムウェアグループ間の
熾烈な戦い
ランサムウェア
ランサムウェアの攻撃件数やランサムウェアグループの数は増加し続けていますが、最近ではランサムウェア
グループ間の争いが激化しており、
RansomHub などのいくつかの RaaS(サービスとしてのランサムウェア)
グループにも影響が出ています。
2025 年上半期、ecrime.ch の2024 年のサマリーデータに
よると、ランサムウェア攻撃は前年比で 15% 増加し、ランサ
ムウェアグループの数は 43% 増加しました。驚くべきことに、
Chainalysis の報告によれば、被害者の支払い総額は逆に
35% も減少していました。2024 年に実施されたテイクダウン
(解体作戦)や運営者が金を持ち逃げする出口詐欺があり、ラン
サムウェアグループで大規模な再編があったことがこの原因
となっている可能性があります。また、ランサムウェアグルー
プの存続性や「身代金を支払ってもデータは復旧されないか
もしれない」という不信感を被害者側が抱き始めたことも一
因と考えられます。
ランサムウェアグループ間の争いの幕開け
2025 年上半期の動向を見ても、この評価は引き続き正しい
と思われます。RansomHub が「新たな秩序」を確立して、
多数のアフィリエイトを抱え、ランサムウェア界隈を支配し
ていた状況は、崩壊しました。しかし、この秩序の崩壊は、ラン
サムウェアグループ同士が互いに仕掛けた抗争とサイトの改
ざんによるものでした。
最も顕著な対立は、DragonForce グループによって引き起
こされています。DragonForce は、非常に挑発的で大胆な
サイバー攻撃グループであり、自ら運営するデータリークサ
イトには、被害を受けた数十の組織の情報が掲載されてい
ます。DragonForce は、アフィリエイトからの信頼も乏し
く、小規模なグループに過ぎませんが、この 3月に破壊的な
活動を開始し、BlackLock、Mamona、そして当時最大の
RaaS(サービスとしてのランサムウェア)グループであった
RansomHub のダークウェブサイトを閉鎖に追い込みました。
さらに DragonForce は、RansomHub がDragonForce の
カルテルに自発的に参加したと主張しましたが、その証拠は
なく、この発言は悪名高い RAMP フォーラムでの激しい公
開論争の末に否定されています。重要なのは、RansomHub
のサービスやデータリークサイト、オペレーションが、
この攻撃以降も復旧していないことです。これにより、
DragonForce による攻撃と改ざんを受けて RansomHub の活動は停止している
改ざんされた RansomHub のデータリークサイト
ESET 脅威レポート
2025 年上半期 | 21
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
RansomHub に依存していたアフィリエイトたちは、LockBit 崩壊時と同様に、再
び中心となるオペレーターを失う結果となりました。
ランサムウェアの漏洩が次々と発生
RansomHub のデータリークサイトが改ざんされた数日後、今度は Everest ランサ
ムウェアのリークサイトも別のサイバー攻撃グループによって攻撃され、サイトに
は「犯罪はダメ。犯罪は悪。プラハより愛を込めて」という皮肉めいたメッセージ
が残されていました。さらに、LockBit が再始動したばかりのリークサイトにも同
じメッセージが表示され、このランサムウェアグループの内部情報へのリンクが添
えられていました。リークされたデータベースには、RaaS を利用していた管理者
やアフィリエイト数十人の名前と平文のパスワード、約 6万件のユニークなビット
コインアドレス、アフィリエイトが使用していたビルドや設定、犯罪者と被害者間
で交わされた交渉を記録した 4,400 件以上メッセージが含まれていました。
さらに、別の漏洩者(不満を抱えた内部関係者、あるいはグループのシステムに侵
入したセキュリティ研究者と見られる人物)によって、Black Basta ランサムウェ
アの運用に関する内部メッセージが数週間分、まとめて流出しました。漏洩したデー
タには、このランサムウェアグループが使用していたフィッシングメールのテンプ
レートや暗号通貨アドレス、データの保存場所、被害者の認証情報に関する手がか
りが含まれていました。
2025 年上半期の終りに、X.com に登場した新アカウント @GangExposed が、
2022 年の ContiLeaks および 2023 年の TrickLeaks を掘り起こし、それらの情報を
使って悪名高いサイバー犯罪グループのリーダーやメンバーの身元を晒しました。こ
の中には、Stern、Tramp、Target といったハンドルネームで知られる黒幕の情報も
含まれています。これらの人物は、TrickBot、Black Basta、Royal ランサムウェア
といった他のマルウェア作戦にも関与していたとされています。この中の少なくと
も1名の加害者については、ドイツの法執行機関によって身元が確認されています。
ランサムウェア界隈の「熾烈な争い」だけでなく、法執行機関によるランサム
ウェアの運用者やアフィリエイトの追跡も加速しています。2025 年上半期には、
DoppelPaymer、Nefilim、LockBit、Phobos/8Base といった複数のランサ
ムウェアグループに関与する容疑者が逮捕されたほか、米国への身柄引き渡しや起
訴に至るなど、法執行機関による積極的な介入が続きました。ランサムウェアを支
援しているインフラへの法執行機関による対策も進み、暗号通貨のミキサーである
Blender.io および Sinbad.io の運営者が、ランサムウェア資金のマネーロンダリング
幇助の容疑で起訴されました。また、防弾ホスティングサービスのプロバイダーで
ある ZServers/XHost も制裁対象となり解体されました。Netwalker ランサムウェ
アに関与したルーマニア人のアフィリエイトは懲役 20 年の判決を受けています。
朗報は他にもあります。セキュリティ研究者の Yohanes Nugroho 氏が、新しい
手法で Akira ランサムウェアの復号ツールを開発しました。この復号ツールは、
Akira ランサムウェア系統の特徴を攻撃し、GPU の高い演算能力を活用して、復号
鍵をブルートフォースの手法で割り出します。ただし、このツールの導入や運用は
技術的なハードルが高く、一般ユーザーには取り扱いにくいのが難点です。
ツールキットの進化:EDR キラーと RMM ツールの
悪用
ランサムウェアグループは、標的の組織が採用しているあらゆるセキュリティ対策
を突破できると豪語することが多くありますが、EDR(Endpoint Detection and
Response)ソリューションは攻撃者にとって実際に大きな障壁となっています。
その障壁があまりにも大きいため、複数のランサムウェアオペレーターは、被害者
の組織にインストールされている EDR を無効化、停止、クラッシュさせるために設
計された EDR キラーと呼ばれる新しいツールを開発しました。
技術力の低い攻撃者は、単純なスクリプトや、GMER ルートキット検出ツールや
PC Hunter などの正規のツールを悪用して、この目的を達成していますが、高度
な技術力のあるグループは BYOVD(脆弱なドライバの持ち込み)の手法を用いて
EDR キラーを作成します。これらのツールは通常、攻撃を制御・指揮するユーザー
モードの「キラーコード」コンポーネントと、正規の署名があるものの脆弱性を持
つドライバの 2つで構成されます。このドライバはシステム上にドロップされ、「キ
ラーコード」がこれを悪用して、カーネルモードからセキュリティ関連のプロセス
を強制終了させます。
2025 年上半期に ESET の研究者が、EDR キラーの一種である EDRKillShifter を
詳細に分析しました。このツールは、当時最も勢力を伸ばしていた RaaS グループ
の1つであった RansomHub によって作成・保守されていました。EDRKillShifter
の機能は、他の EDR キラーマルウェアと大きくは変わりませんが、コードを保護す
る方法に顕著な違いがあります。このマルウェアの実行チェーンの中間レイヤーに
1 元の URL には、URL パスの最後に標的ごとの一意の英数字識別子が含まれていますが、これらはサンプルの URL からは削除されています。
改ざんされた LockBit のデータリークサイト
法執行機関によって押収された暗号通貨ミキサーのドメイン「Sinbad[.]io」
ESET 脅威レポート
2025 年上半期 | 22
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
あたるシェルコードは、64 文字のパスワードで保護されてお
り、そのパスワードがなければ、セキュリティ研究者は標的
となるプロセスのリストや悪用されるドライバにアクセスで
きない設計になっています。
しかし、ESET の研究者は EDRKillShifter 特有の特徴を手
がかりに調査を進め、RansomHub のアフィリエイトと、
彼らが同時に関与している他のライバルグループ(Play、
Medusa、BianLian など)との関連性を特定することに成
功しました。EDRKillShifter だけが、EDR ソリューション
を標的とする唯一のツールではありません。EDR キラーの
人気が高まっており、ランサムウェアのアフィリエイトに
よって利用される EDR キラーの種類と数が増加しています。
RansomHub のEDRKillShifter に加えて、Embargo が使用
するMS4Killer や、BadRentdrv2、TFSysMon-Killer など
もEDR キラーとして広く知られています。BadRentdrv2 と
TFSysMon-Killer はGitHub 上で一般公開されています。
ESET の研究者は、ランサムウェアグループが正規のリモー
ト監視・管理(RMM)ツールを悪用している傾向も引き続
き観測しています。RMM ツールは、本来企業がエンドポ
イントをリモートから管理する、あるいはインサイダーの脅
威やデータ漏洩の対策に利用するものです。しかし現在では、
Anydesk、MeshAgent、SimpleHelp といったツールが、攻
撃者による侵入または制御の手段として悪用されています。
組織が正当な目的でこれらのツールを導入していない限り、
これらがネットワークで確認された時点で「レッドフラグ」
と見なすべきであり、迅速に対応して、悪用される可能性を
排除する必要があります。
ClickFix を採用した
Interlock ランサムウェア
ランサムウェアグループは最新の手口を常に取り入れようと
しています。ソーシャルエンジニアリングの手法として急速
に注目を集めている ClickFix にも当然、これらのグループが
関心を寄せています。本レポートの前半で説明したように、
ClickFix 攻撃は、被害者に偽のエラーメッセージを表示し、
被害者が悪意あるコマンドをコピーアンドペーストしてデバ
イスで実行するように誘導します。
ClickFix は、初期アクセスブローカー(IAB)が元々使用
していた手法です。以前から間接的にランサムウェア攻撃
に使われていた可能性はありますが、ランサムウェア攻撃
者が直接キャンペーンで使い始めたのは 2025 年上半期で
す。Interlock ランサムウェアは ClickFix を利用して、MS
Teams やAdvanced IP Scanner といった IT ツールを偽装し
て、悪意あるコマンドを実行させています。これらのコマン
ドは、偽のインストーラーをダウンロードしたり、正規のサ
イトを他のウィンドウの前面に表示させ、バックグラウンド
ではセカンダリペイロードを展開したり、PowerShell のバッ
クドアを作成したりします。
高度な EDR キラーは BYOVD 手法を用いており、既知の脆弱なカーネルドライバをシステムにドロップしてインストールし、それを悪用してセキュリティ関連のプロセスを
強制終了させる
キラーコード
脆弱なドライバ
セキュリティソリューションのプロセス
終了
ユーザー空間
カーネル空間
ドロップと
インストール
終了を
リクエスト
ESET のエキスパートの解説
2025 年第 1四半期には報告された攻撃件数は大幅に増加しましたが、RansomHub の活動が停止
したことで、その勢いは突如として止まりました。RansomHub は2024 年に登場し、LockBit や
BlackCat のアフィリエイトを引き抜いたことで注目を集め、そのタイミングと有利な条件を武器に急
速な成長を遂げました。しかし現在、ランサムウェアを取り巻く情勢は混乱しています。この混乱は
法執行機関による介入ではなく、ライバルグループ間の抗争によって引き起こされたものです。今後、
いずれは新たな支配的グループが台頭する可能性はあるものの、現在の内部抗争が早期に収束する兆
しは見えていません。DragonForce は注目を集めたかもしれませんが、信頼を得たとは到底言えま
せん。RansomHub が自発的に DragonForce の「カルテル」に加わったとする虚偽の主張は、むし
ろその信頼性をさらに損なう結果となりました。
ESET シニアマルウェア研究者、Jakub Souček
ESET 脅威レポート
2025 年上半期 | 24
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2025 年上半期におけるマルウェア検出の地理的な分布
20.5%
7.7%
6.4%
5.5%
4.8%
2.9%
2.7%
2.4%
2.2%
1.7%
HTML/Phishing.Agent trojan
HTML/FakeCaptcha trojan
JS/Agent trojan
DOC/Fraud trojan
HTML/Phishing trojan
PDF/Phishing trojan
MSIL/TrojanDownloader.Agent trojan
Win/Exploit.CVE-2017-0199 trojan
Win/Exploit.CVE-2017-11882 trojan
HTML/Fraud trojan
2024 年下半期〜 2025 年上半期の脅威全体の検出傾向、7日移動平均線
2025 年H1 のマルウェア検出率トップ 10(マルウェア検出数に占める割合)
-3%
すべての脅威
10%
0%
下半期 上半期
HTML/Phishing.Agent トロイの木馬
HTML/FakeCaptcha トロイの木馬
JS/Agent トロイの木馬
DOC/Fraud トロイの木馬
HTML/Phishing トロイの木馬
PDF/Phishing トロイの木馬
MSIL/TrojanDownloader.Agent トロイの木馬
Win/Exploit.CVE-2017-0199 トロイの木馬
Win/Exploit.CVE-2017-11882 トロイの木馬
HTML/Fraud トロイの木馬
ESET 脅威レポート
2025 年上半期 | 25
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2025 年上半期における Android に関連する脅威検出の地理的な分布
32.5%
19.3%
7.3%
6.6%
4.5%
3.6%
1.8%
1.7%
1.6%
1.5%
Android/TrojanDropper.Agent trojan
Android/AdDisplay.Generic PUA
Android/AdDisplay.MobiDash PUA
Android/Agent trojan
Android/Spy.Banker trojan
Android/SpyLoan PUA
Android/Andreed trojan
Android/Hiddad trojan
Android/Spy.Agent trojan
Android/AdDisplay.HiddAd PUA
2024 年下半期〜 2025 上半期の Android に関する脅威カテゴリの検出傾向、7日移動平均線
(クリッカー、クリプトマイナー、ランサムウェア、詐欺アプリ、SMS トロイの木馬、ストーカーウェアの傾向は、「その他」の傾向線に統合)
2025 年H1 のAndroid の脅威の検出トップ 10(Android の脅威の検出数に占める割合)
+62%
Android
13%
0%
下半期 上半期
Android/TrojanDropper.Agent トロイの木馬
Android/AdDisplay.Generic PUA
Android/AdDisplay.MobiDash PUA
Android/Agent トロイの木馬
Android/Spy.Banker トロイの木馬
Android/SpyLoan PUA
Android/Andreed トロイの木馬
Android/Hiddad トロイの木馬
Android/Spy.Agent トロイの木馬
Android/AdDisplay.HiddAd PUA
1 2024 年12 月に検出数が一時的に減少したのは、ESET のモバイルセキュリティ製品に含まれるモジュールの一部で発生したコミュニケーションミスが原因でした。この問題がありましたが、この期間中も Android デバイスのセキュリティおよび保護機能は完全に維持され、影響を受けることはありませんでした。
ESET 脅威レポート
2025 年上半期 | 26
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2025 年上半期における暗号通貨の脅威の検出数の地理的な分布
37.6%
15.0%
13.3%
9.0%
6.4%
5.5%
4.4%
1.6%
1.0%
0.9%
Win/CoinMiner PUA
JS/CoinMiner trojan
Win/CoinMiner trojan
JS/CoinMiner PUA
BAT/CoinMiner trojan
MSIL/CoinMiner PUA
NSIS/CoinMiner trojan
MSIL/CoinMiner trojan
WASM/CoinMiner PUA
Win/CoinMiner_AGen PUA
2024 年下半期〜 2025 年上半期の暗号通貨に関する脅威の検出傾向、7日移動平均線
2025 年上半期の暗号通貨の脅威の検出率トップ 10(暗号通貨の脅威の検出数に占める割合)
-26%
暗号通貨の脅威
8%
0%
下半期 上半期
Win/CoinMiner PUA
JS/CoinMiner トロイの木馬
Win/CoinMiner トロイの木馬
JS/CoinMiner PUA
BAT/CoinMiner トロイの木馬
MSIL/CoinMiner PUA
NSIS/CoinMiner トロイの木馬
MSIL/CoinMiner トロイの木馬
WASM/CoinMiner PUA
Win/CoinMiner_AGen PUA
ESET 脅威レポート
2025 年上半期 | 27
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2025 年上半期のダウンローダーの検出率(検出タイプ別)
2025 年上半期におけるダウンローダー検出の地理的な分布
21.2%
10.8%
9.5%
8.0%
7.6%
7.3%
6.4%
6.3%
5.6%
2.9%
MSIL/TrojanDownloader.Agent trojan
DOC/TrojanDownloader.Agent trojan
JS/Danger trojan
VBA/TrojanDownloader.Agent trojan
VBS/TrojanDownloader.Agent trojan
HTML/TrojanDownloader.FraudLoad trojan
JS/TrojanDownloader.Agent trojan
PowerShell/TrojanDownloader.Agent trojan
Win/TrojanDownloader.ModiLoader trojan
BAT/TrojanDownloader.Agent trojan
10%
0%
2024 年下半期〜 2025 年上半期のダウンローダーの検出傾向、7日移動平均線
2025 年上半期のダウンローダーの脅威の検出率トップ 10(ダウンローダー検出数に占める割合)
-7%
ダウンローダー
23.0%
17.8%
10.8%
10.4%
8.2%
8.0%
7.6%
6.3%
5.9%
1.8%
MSIL
JS
DOC
Win
HTML
VBA
VBS
PowerShell
Other
LNK
下半期 上半期
MSIL/TrojanDownloader.Agent トロイの木馬
DOC/TrojanDownloader.Agent トロイの木馬
JS/Danger トロイの木馬
VBA/TrojanDownloader.Agent トロイの木馬
10% VBS/TrojanDownloader.Agent トロイの木馬
HTML/TrojanDownloader.FraudLoad トロイの木馬
0%JS/TrojanDownloader.Agent トロイの木馬
PowerShell/TrojanDownloader.Agent トロイの木馬
Win/TrojanDownloader.ModiLoader トロイの木馬
BAT/TrojanDownloader.Agent トロイの木馬
MSIL
JS
DOC
Win
HTML
VBA
VBS
PowerShell
その他
LNK
ESET 脅威レポート
2025 年上半期 | 28
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2025 年上半期の主な悪意のあるメールの添付ファイルのタイプ
2025 年上半期のメールの脅威検出の地理的な分布
13%
0%
2024 年下半期〜 2025 年上半期のメールに関する脅威の検出傾向、7日移動平均線
2025 年上半期に検出されたメールの脅威トップ 10
-9%
31.7%
9.0%
6.8%
4.3%
3.8%
3.6%
3.0%
2.7%
2.5%
2.3%
HTML/Phishing.Agent trojan
DOC/Fraud trojan
HTML/Phishing trojan
M
SIL/TrojanDownloader.Agent trojan
Win/Exploit.CVE-2017-0199 trojan
Win/Exploit.CVE-2017-11882 trojan
PDF/Phishing trojan
HTML/Fraud trojan
Win/Formbook trojan
MSIL/Spy.Agent trojan
メールに関する脅威
44.5%
24.2%
12.2%
10.4%
5.0%
3.1%
0.5% 0.1% 0.01%
Scripts
Executables
Oce documents
PDF
Archives
Batch
Shortcuts
Jar
Android
下半期 上半期
HTML/Phishing.Agent トロイの木馬
DOC/Fraud トロイの木馬
HTML/Phishing トロイの木馬
MSIL/TrojanDownloader.Agent トロイの木馬
Win/Exploit.CVE-2017-0199 トロイの木馬
Win/Exploit.CVE-2017-11882 トロイの木馬
PDF/Phishing トロイの木馬
HTML/Fraud トロイの木馬
Win/Formbook トロイの木馬
MSIL/Spy.Agent トロイの木馬
スクリプト
実 行ファイル
Office 文書
PDF
アーカイブ
バッチ
ショ ート カット
JAR
Android
ESET 脅威レポート
2025 年上半期 | 29
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2024 年下半期から 2025 年上半期の RDP、SMB および SQL 接続試行回数の傾向、7日移動平均線
2025 年上半期にユニーククライアントから報告された外部からのネットワークへの侵入方法
42.6%
13.5%
8.8%
8.3%
2.9%
2.7%
1.6%
1.5%
0.6%
0.3%
0.05%
17.1%
Password guessing
Apache log4j CVE-2021-44228
Apache Struts2 CVE-2017-5638
PHP CVE-2024-4577
SMB.DoublePulsar scan
MS IIS CVE-2015-1635
Apache spring4shell CVE-2022-22963,22965
Pulse Secure CVE-2019-11510
MS RDP CVE-2019-0708 Bluekeep
MS Exchange Exploit.CVE-2021-26855
MS SMB1 EternalBlue
Other
エクスプロイト
+7%
+37%
+6%
下半期 上半期
パスワードの推測
Apache log4j CVE-2021-44228
Apache Struts2 CVE-2017-5638
PHP CVE-2024-4577
SMB.DoublePulsar scan
MS IIS CVE-2015-1635
Apache spring4shell CVE-2022-22963、22965
Pulse Secure CVE-2019-11510
MS RDP CVE-2019-0708 Bluekeep
MS Exchange Exploit.CVE-2021-26855
MS SMB1 EternalBlue
その他
ESET 脅威レポート
2025 年上半期 | 31
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2024 年下半期〜 2025 年上半期の情報窃取型マルウェアの検出傾向、7日移動平均線
2025 年上半期の情報窃取型マルウェアの検出率トップ 10(情報窃取型マルウェア検出数に占める割合)
18.4%
16.0%
10.9%
6.1%
5.2%
2.6%
2.0%
1.8%
1.8%
1.7%
MSIL/Spy.Agent trojan
Win/Formbook trojan
JS/Spy.Banker trojan
MSIL/Spy.AgentTesla trojan
PHP/Webshell backdoor
Win/Rescoms backdoor
ASP/Webshell backdoor
Win/Spy.LummaStealer trojan
MSIL/Agent backdoor
Win/Spy.VB trojan
2025 年上半期に検出された情報窃取型マルウェアの地理的な分布
7%
0%
情報窃取型マルウェア
-7%
下半期 上半期
MSIL/Spy.Agent トロイの木馬
Win/Formbook トロイの木馬
JS/Spy.Banker トロイの木馬
MSIL/Spy.AgentTesla トロイの木馬
PHP/Webshell バックドア
Win/Rescoms バックドア
ASP/Webshell バックドア
Win/Spy.LummaStealer トロイの木馬
MSIL/Agent バックドア
Win/Spy.VB トロイの木馬
ESET 脅威レポート
2025 年上半期 | 32
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2024 年下半期〜 2025 年上半期の macOS への脅威の検出傾向、7日移動平均線
29.1%
5.1%
4.2%
3.2%
3.1%
3.0%
2.7%
2.7%
2.7%
2.6%
OSX/Mackeeper PUA
OSX/Ngrok PUsA
OSX/PSW.Agent trojan
OSX/TrojanDownloader.Adload trojan
OSX/Pirrit adware
OSX/EaseUS PUA
OSX/Keygen PUsA
OSX/Genieo adware
OSX/GT32SupportGeeks PUA
OSX/NukeSped trojan
2025 年上半期における macOS の脅威検出の地理的な分布
2025 年H1 のmacOS の脅威の検出率トップ 10(マルウェア検出数に占める割合)
+0.4%
macOS
下半期 上半期
OSX/Maceeper PUA
OSX/Ngrok PusA
OSX/PSW.Agent トロイの木馬
OSX/TrojanDownloader.Adload トロイの木
OSX/Pirrit アドウェア
OSX/EaseUS PUA
OSX/Keygen PusA
OSX/Genieo アドウェア
OSX/GT32SupportGeeks PUA
OSX/NukeSped トロイの木馬
27%
0%
ESET 脅威レポート
2025 年上半期 | 33
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2024 年下半期〜 2025 年上半期のランサムウェアの検出傾向、7日移動平均線
7%
0%
21.8%
16.3%
7.6%
6.9%
2.9%
2.8%
2.8%
2.1%
1.9%
1.6%
PowerShell/Filecoder trojan
Win/RiskWare.LockScreen application
Win/Filecoder trojan
MSIL/Filecoder trojan
Win/LockScreen trojan
Win/Filecoder.BlackMatter trojan
Win/Filecoder.WannaCryptor trojan
Python/Filecoder trojan
Win/Filecoder.GandCrab trojan
Win/Filecoder.CryptoWall trojan
2025 年上半期におけるランサムウェア検出の地理的な分布
2025 年上半期のランサムウェア検出率トップ 10(ランサムウェア検出数に占める割合)
+30%
ランサムウェア
下半期 上半期
PowerShell/Filecoder トロイの木馬
Win/RiskWare.LockScreen アプリケーション
Win/Filecoder トロイの木馬
MSIL/Filecoder トロイの木馬
Win/LockScreen トロイの木馬
Win/Filecoder.BlackMatter トロイの木馬
Win/Filecoder.WannaCryptor トロイの木馬
Python/Filecoder トロイの木馬
Win/Filecoder.GandCrab トロイの木馬
Win/Filecoder.CryptoWall トロイの木馬
ESET 脅威レポート
2025 年上半期 | 34
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
2024 年下半期〜 2025 年上半期にブロックされた Web 脅威の傾向、7日間移動平均線
2024 年下半期〜 2025 年上半期にブロックされたユニーク URL の傾向、7日間移動平均線 2
+39%
-26%
Web の脅威
下半期
下半期
上半期
上半期
2 2024 年6月後半から 7月初旬にかけて検出数が急減したのは、ESET の統計データベースへの接続に関する問題が短期間発生したことが原因です。この問題は脅威の保護機能には影響を与えていません。
14%
0%
35%
0%
2025 年上半期にブロックされた Web 脅威の地理的な分布
2025 年上半期にブロックされたドメインホストの地理的な分布
ESET 脅威レポート
2025 年上半期 | 35
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
調査レポート
ESET Research のポッドキャスト:
詐欺ツールキット「Telekopye」の再登場
「Neanderthals」(ネアンデルタール人)というニックネームで知られる
詐欺グループが、Telekopye というツールキットを操って、「マンモス」
と呼ばれる無防備な被害者たちを巧みに罠にかける、そんなサイバー犯
罪の薄暗い世界を、少し覗いてみましょう。
KAIRYŪ(赤い龍)作戦:MIRRORFACE、EXPO
2025 大阪・関西万博に便乗して欧州の外交機関を攻撃
MirrorFace(ミラーフェイス)は、通常日本を標的として活動していま
すが、ESET の研究者は、これまでとは異なり中欧の外交機関を標的にし
た攻撃を発見し、ANEL バックドアを使用していることを特定しました。
ESET、Lumma Stealer のグローバルな解体作戦に
参加
ESET は、数万件におよぶ悪意ある検体を継続的かつ詳細に監視し、この
グローバルな解体作戦を支援しました。
サイバーセキュリティ脅威レポート 2024 年下半期:
情報窃取型マルウェア動向の大きな変化、
モバイルの新たな攻撃手法、そして Nomani
情報窃取型マルウェア環境の大きな変化、iOS および Android に対する
新たな攻撃手法、ソーシャルメディア上での投資詐欺の急増について解
説します。
PlushDaemon が、韓国の VPN サービスの
サプライチェーンを侵害
ESET の研究者が、中国とつながりのある新たな APT グループによる、
韓国の VPN プロバイダーに対するサプライチェーン攻撃を特定しまし
た。ESET は、この APT グループを PlushDaemon と命名しました。
北朝鮮のサイバー攻撃グループ「DeceptiveDevelopment」、
フリーランス開発者を標的に
ESET の研究者は、採用面接の課題にマルウェアを仕込んで配信する
キャンペーンを分析しました。
Danabot:崩壊した帝国の分析
ESET Research が、最近多数の国の法執行機関によって解体された情報
窃取型マルウェア「Danabot」の仕組みについての調査結果を共有しま
した。
BladedFeline:暗闇の中のささやき
SET の研究者は、BladedFeline によるサイバースパイ活動を分析。この
グループはイランとつながりのある APT グループで、OilRig との関連性
も疑われています。
2024 年第 4四半期〜 2025 年第 1四半期の ESET APT 活動
レポート
ESET APT 活動レポートは、2024 年第 4四半期および 2025 第1四半期
にESET Research が調査および分析した APT グループの活動の概要を
まとめています。
APT グループ「TheWizards」、 SLAAC スプーフィングを
利用して AiTM 攻撃(Adversary-in-the-Middle)を
実行
SET の研究者が、「Spellbinder」というラテラルムーブメントツールを
分析しました。このツールは、AiTM 攻撃(Adversary-in-the-Middle
を実行するために使用されています。
ランサムウェアグループ間の新勢力図:
RansomHub のEDRKillShifter が示す
RaaS グループとアフィリエイトとの関係性
ESET の研究者が、RansomHub のアフィリエイトと、対立するグルー
プである Medusa、BianLian、Play との関係性を明らかにしました。
FishMedley 作戦
ESET の研究者は、中国のセキュリティ企業といわれる I-SOON が運営
する APT グループ「FishMonger」によるグローバルなスパイ活動の詳
細を明らかにしました。
活動休止と思われた中国 APT グループ FamousSparrow の
活動実態と最新攻撃ツールの詳細解説
ESET の研究者は、APT グループ「FamousSparrow」高度なツールセット
を発見。これには、グループ専用のバックドアである SparrowDoor のこれ
までに特定および文書化されていなかった 2つのバージョンを含みます。
UEFI セキュアブートに潜在する脅威:CVE-2024-7344
UEFI セキュアブートを回避する署名付きの UEFI アプリーションについ
てのストーリー。
RoundPress 作戦
ESET の研究者、XSS の脆弱性を悪用して Web メールサーバーを狙うロ
シアとつながりのあるスパイ活動を発見
ESET サイバーセキュリティ脅威レポート 2024 年下半期
ESET テレメトリと ESET 脅威検出と調査の専門家の視点から見た 2024
年下半期の脅威の状況を伝えます。
ESET 脅威レポート
2025 年上半期 | 36
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
クレジット 本レポートにおける
データについて
チーム
Peter Stančík、チームリーダー
Klára Kobáková、マネージングエディター
Aryeh Goretsky
Branislav Ondrášik
Bruce P. Burrell
Hana Matušková
Nick FitzGerald
Ondrej Kubovič
Rene Holt
Zuzana Pardubská
貢献者
Dušan Lacika
Jakub Kaloč
Jakub Souček
Jakub Tomanek
Lukáš Štefanko
Tomáš Procházka
本レポートに示されている脅威の統計と傾向は、ESET のグ
ローバルテレメトリ(監視チーム)データに基づいています。
特に明記されていない限り、検出に含まれるデータは標的と
なったプラットフォーム別にはなっていません。
さらに、詳細なプラットフォーム固有のセクションと「暗号
通貨の脅威」のセクションで記載されている場合を除いて、
これらのデータでは望ましくないアプリケーション(PUA)、
潜在的に危険なアプリケーション、およびアドウェアの検出
数が除外されています。
これらのデータは、情報の価値を最大化するため、偏った見
方を緩和するために適正に処理されています。
本レポートのほとんどのグラフは、絶対数ではなく、検出傾
向を示しています。このような表示を行っている主な理由は、
ほかのテレメトリデータと直接比較する場合にデータについ
てさまざまな誤解を招きやすいためです。ただし、有益であ
ると思われる場合は、絶対値または桁数を表示しています。
ESET 脅威レポート
2025 年上半期 | 37
(eset):research
© 2025 ESET, spol. s r.o. 許可無く複製等を行うことを禁止します。
本書で使用されている商標は、ESET, spol.s r.o. の商標または登録商標です。
その他の名称およびブランド名は、各社の登録商標です。
脅威環境の動向 脅威テレメトリ 調査レポート 本レポートについて ESET について
序文エグゼクティブサマリー
ESET について
WeLiveSecurity.com
@ESETresearch
ESET GitHub
ESET 脅威レポートと APT アクティビティレポート
ESET® は、攻撃を未然に防止するための最先端のデジタルセキュリティを提供して
います。ESET は、AI と人間の専門知識の両方を取り入れて、既知のサイバー脅威
や新たなサイバー脅威を防止し、企業、重要インフラ、そしてユーザーを保護します。
AI を活用したクラウドファーストの ESET のソリューションとサービスは、エンド
ポイント、クラウド、モバイル保護のいずれの分野においても、優れた利便性と効
果を発揮します。ESET のテクノロジーには、堅牢な検知・応答、極めて安全な暗
号化、そして多要素認証が含まれます。24 時間 365 日体制でリアルタイムに攻撃
を防ぎ、お客様一人ひとりに合わせた強力なサポートを提供し、ユーザーを保護し、
サイバー攻撃による業務の中断を防止します。デジタル環境が常に進化し続ける中
で、セキュリティにも先進的なアプローチが求められています。ESET は、研究開
発センターと強力なグローバルなパートナーネットワークを活用し、世界最高クラ
スの調査研究と強力な脅威インテリジェンスを提供しています。詳細については、
www.eset.com/jp をご覧ください。ぜひ、LinkedIn、Facebook、Xで
ESET Japan をフォローしてください。
