高度なマルウェア分析が減少した背景と業界変化

消えゆく高度なマルウェア分析

サイバーセキュリティの分野で10年以上のキャリアを持つ研究者の間で、ある共通の疑問が広がっている。なぜ近年、真に興味深いマルウェアとその詳細な分析を目にすることが減ったのか。

かつてセキュリティ研究者の朝は、カスペルスキーのGReATチームやFireEye（現Mandiant/Google）、ESETのブログをチェックすることから始まった。60ページに及ぶPDFはまるでスリル満点のスパイ小説のように読ませた。

黄金時代を支えた脅威ハンターたち

2000年代後半から2010年代にかけて、企業セキュリティブログや独立研究者のサイト、KernelMode.infoのような専門フォーラムは、マルウェアの大型発見で溢れていた。

研究者たちは、デジタルの痕跡を追跡し、サーバーやプロトコルを巧みに活用しながら、複雑なカスタムプラグインを備えた大規模なモジュラーツールキットを解明する過程を詳細に公開していた。

Equation Group、Stuxnet、Flame、Careto（The Mask）、Uroburos/Snake、DarkHotel、The Dukes、Duqu(2)、The Lamberts/Longhorn、Project Sauron、FinFisher——これらの名前は、カスタム仮想ファイルシステムや隠しパーティションを活用した技術的傑作として記憶されている。

コモディティマルウェアの世界も同様に活気に満ちており、TDL、ZeroAccess、Zeus、Dridex、Ursnif、Ploutus、Carberpなど、研究者たちは次々と高度な脅威を解剖していた。

ランサムウェアとインフォスティーラーの洪水

しかし現在、この状況は大きく変わった。その主な要因が、金銭目的のサイバー犯罪の爆発的増加である。

ランサムウェアやインフォスティーラーは即座かつ壊滅的なビジネス中断を引き起こすため、セキュリティ企業のインシデント対応活動を席巻し、ブログ記事の主要コンテンツとなっている。

LockBit、ALPHV、Cl0pなどのランサムウェアは、技術的には「退屈」だというのが研究者の率直な評価だ。暗号化ルーチン、盗んだ認証情報を使ったラテラルムーブメント、二重恐喝戦術——基本的な構造はほぼ共通している。

RedLine、Lumma、Stealcなどのインフォスティーラーも同様だ。これらは技術的には素朴だが、効果的な「窓割り強盗」のような存在と言える。

業界の構造的変化

セキュリティ企業は市場での存在感を示すため、現在戦っている脅威に基づいてレポートを作成する。その結果、一般に公開される報告書はランサムウェアとインフォスティーラーで溢れかえり、高度なAPT分析は影が薄くなった。

かつての「エンジニアリングの驚異」と呼べるような複雑なマルウェアの詳細な解剖は、今や貴重な存在となっている。

今後の展望

この変化は、セキュリティ業界が直面する実務的ニーズと研究者の探求心との間のジレンマを象徴している。脅威の高度化と大衆化が同時に進む中で、真に複雑なマルウェアの分析が再び脚光を浴びる日は来るのだろうか。