Ghidra・dnSpyを装う偽ダウンロードサイト―TDSとクリック乗っ取りの新手口

大規模なキャンペーンが、Ghidra、dnSpy、SpiderFoot などのオープンソース／フリーウェアのプロジェクトになりすまし、検索トラフィックを取り込んでソフトウェアのダウンロードのクリックを乗っ取った。

研究者によれば偽サイトは CloudFront 上の JavaScript で訪問者の最初の操作を傍受し、ユーザーをゲート付きの TDS（トラフィック配信システム）へ送り込むという。TDS は配信内容を決める前にボット検知、VPN・データセンターのフィルタリング、クリック確認、配信頻度の制限を実行する。

インフラは主にトラフィック獲得と収益化のために構築されたとみられるが、選別された一部の被害者はマルウェア配信チェーンへ送られた。チェーンには SessionGate、RemusStealer、AnimateClipper が含まれ、それぞれ PUA、インフォスティーラー、暗号資産クリッパーの配信に使われた。

作戦は少なくとも 2025 年後半から活動し、活発な配信は 2026 年初頭から観測され、関連サンプル全体での VirusTotal への提出数は 5,000 件を超えた。

From: Fake Open-Source Download Sites Funnel Victims to TDS and Malware | Mallory

【編集部解説】

今回の事案で最も示唆的なのは、攻撃者が狙った「ブランド」の選び方です。偽装された Ghidra や dnSpy は、本来マルウェアを解析する側のセキュリティ研究者やリバースエンジニアが使うツールでした。チェック・ポイントは、信頼されたリバースエンジニアリングツールを装う点をこのキャンペーンの注目すべき特徴と位置づけています。守る側の道具箱が、そのまま罠の入り口に転用されたわけです。

仕組みの核心は「クリックの乗っ取り（クリックハイジャック）」にあります。偽サイトの「ダウンロード」ボタンにマウスを重ねると、本物の GitHub の URL が表示され、安心感を与えます。ところが実際にクリックすると、ページに埋め込まれた CloudFront 上のスクリプトが動作を横取りし、利用者を TDS へ受け渡します。見た目の正しさと、クリック後の挙動が切り離されている点が巧妙です。

ここで鍵となる TDS（トラフィック配信システム）は、本来は広告業界で訪問者を条件ごとに振り分ける正規の技術です。今回はそれが悪用され、訪問者を選別する「関所」として機能していました。

選別の精度は高く、同じ IP アドレスから繰り返しアクセスすると、Opera ブラウザや不要な拡張機能といった無害なソフトが配られます。解析者の目をかわし、価値が高いと判断した一部の利用者だけに本命を届ける設計です。

配られるマルウェアの顔ぶれも確認しておきましょう。Remus Stealer は MaaS（サービスとしてのマルウェア）として提供される情報窃取型で、20 種類を超えるブラウザや、暗号資産ウォレット、二段階認証ツール、パスワード管理ソフトからデータを盗み出します。これは Lumma Stealer の派生型とみられています。

もう一つの AnimateClipper は、暗号資産に直接手を伸ばす「クリッパー」です。クリップボードにコピーされた送金先アドレスを書き換え、20 を超えるブロックチェーン上で取引を乗っ取ります。利用者は正しい宛先に送ったつもりでも、資金は攻撃者の懐に流れ込みます。

時系列も整理しておきましょう。偽サイト群そのものは遅くとも 2025 年後半に確認され、クリックを横取りする TDS のスクリプトが組み込まれたのは 2025 年 12 月までと観測されています。そして、このインフラを使った活発なマルウェア配信が始まったのは 2026 年 1 月初旬以降でした。収益目的の土台が先にでき上がり、あとから攻撃用途へ転用されていった流れが見えてきます。

ここで数値の確認です。Mallory のまとめは VirusTotal への提出を「5,000 件超」と記していますが、これは関連サンプル全体での提出数で、いわばエコシステム全体の規模を示す数字です。一方、The Hacker News がチェック・ポイントの報告に基づいて伝えた数字は、SessionGate に関連する検体の提出が「これまでに約 2,000〜3,500 件」というもので、こちらは特定マルウェアに絞った数字です。同じ「件数」でも対象が異なるため、読者が規模を読み違えないよう区別して捉えたいところです。

被害が及んだ地域にも偏りがあります。提出の大半は、トルコ、ポーランド、ブラジル、ドイツ、フランス、ロシア、英国から寄せられていました。日本が提出元の上位に挙がっていない点はひとまず安心材料ですが、検索経由の手口である以上、対岸の火事とは言い切れません。

この事案が突きつける本質は、私たちが長年信じてきた「安全のサイン」が崩れたことだと考えます。100 を超える偽サイトが作られ、その一部または多数が検索上位に表示され、本物のサイトを上回るケースもありました。「グーグルの検索結果の上位にあり、公式そっくりのサイトだから安心」という直感は、もはや判断材料になりません。

視点を変えると、これは「配信パイプラインの分業化」が進んだ事例とも読めます。チェック・ポイントの研究者は、この作戦の主目的はトラフィックの獲得と収益化にあるとしつつ、ゲート付きの TDS を組み込むことで、運営者自身がマルウェア配布者を下流に持つ流通チェーンの一部になっていると指摘します。グレーな広告収益の仕組みと、明確な犯罪とが、同じ一本の管を共有しているのです。

長期的な影響として、二つの方向を見ておきたいところです。一つは規制と検索基盤側の責任で、検索エンジンや CDN 事業者が悪用をどこまで早く遮断できるかが問われます。もう一つはソフトウェア配布の文化そのもので、開発元が公式の入手経路を明示し、利用者がそこへ直接たどり着ける導線を整えることが、これまで以上に重みを増していくでしょう。

便利さを支える技術ほど、信頼を逆手に取られやすいという逆説がここにあります。技術の進化を前に進めるには、その技術が「誰の信頼を借りているのか」を見抜く目を、私たち自身が鍛え続ける必要がありそうです。

【用語解説】

TDS（トラフィック配信システム）
訪問者の条件に応じて転送先を振り分ける仕組み。本来は広告配信で使われる正規技術だが、今回は被害者を選別する「関所」として悪用された。

PUA（望ましくない可能性のあるアプリケーション）
明確なマルウェアとは断定しにくいが、利用者の同意なく動作したり、不要な広告やツールバーを導入したりする好ましくないソフトウェアを指す。

MaaS（サービスとしてのマルウェア）
マルウェアを開発者がサービスとして第三者に貸し出す犯罪のビジネス形態。技術力の低い攻撃者でも高度な攻撃を実行できてしまう。

SessionGate
今回新たに確認された多段階のローダー（マルウェア配信用フレームワーク）。強力なアンチ解析機能を備え、主に PUA を配信する。被害者のセッションごとに固有のペイロードを生成し、解析環境やサンドボックスの検知を行う点が特徴だ。

RemusStealer（Remus Stealer）
MaaS として提供される新興のインフォスティーラー。20 種類を超えるブラウザや、暗号資産ウォレット、二段階認証ツール、パスワード管理ソフトから情報を盗み、Lumma Stealer の派生型とみられている。

AnimateClipper
暗号資産を狙うクリッパー。クリップボード上のウォレットアドレスを書き換え、20 を超えるブロックチェーン上で取引を乗っ取る。

Lumma Stealer
MaaS として広く提供されてきた代表的な情報窃取型マルウェア。盗まれたデータが闇市場で取引されてきた。RemusStealer は、その系譜につらなる派生型とみられている。

【参考リンク】

Ghidra（公式サイト）（外部）
NSA が開発した無償・オープンソースのリバースエンジニアリングフレームワーク。今回偽装された主要ツール。

dnSpy（オリジナルのリポジトリ）（外部）
.NET のデバッガ兼アセンブリエディタ。2020 年 12 月にアーカイブとなった本家リポジトリ。

dnSpyEx（後継リポジトリ）（外部）
本家アーカイブ後に有志が継続している dnSpy の事実上の後継プロジェクト。現在も更新中。

SpiderFoot（公式リポジトリ）（外部）
IP やドメイン、メールアドレスなどを自動収集する OSINT（公開情報調査）自動化ツール。

チェック・ポイント・リサーチ（外部）
今回の一次情報を公開したチェック・ポイントの調査部門ブログ。手口の全体像を詳述している。

VirusTotal（外部）
ファイルや URL を多数のセキュリティ製品で一括検査できるグーグル傘下のサービス。

Amazon CloudFront（外部）
アマゾン・ウェブ・サービスの CDN。今回は悪性スクリプトのホスティングに悪用された。

Opera（公式サイト）（外部）
解析回避のために「無害なソフト」として配られたケースで言及された Web ブラウザ。

【参考記事】

Fake Sites Mimicking Open-Source Tools Rank High on Google to Deliver Malware via TDS（The Hacker News）（外部）
SessionGate 関連検体の提出を約 2,000〜3,500 件と記し、提出元の国や標的範囲を伝える。

Huge hacking campaign uses spoofed Ghidra, dnSpy, and SpiderFoot security tools…（TechRadar）（外部）
偽サイトが 100 超の規模で作られ、各マルウェアの役割を整理した解説記事。

Impersonation, Click Hijacking, and TDS: Inside a Malware Distribution Ecosystem（Check Point Research）（外部）
本事案の一次情報。クリック乗っ取りから TDS 誘導までの手口を詳述する。

Hackers Impersonate Ghidra, dnSpy, and SpiderFoot to Spread Malware（CyberPress）（外部）
VirusTotal の提出が 5,000 件を超え、作戦規模を示すと報じる。偽の安心感の作り方も解説。

Fake Ghidra, dnSpy & SpiderFoot Sites Used to Spread Malware（GBHackers）（外部）
同一スクリプトを埋め込んだ 100 超の稼働サイトを確認。入口ドメインの例にも触れる。

【関連記事】

TDSを悪用したサイバー攻撃：Trellixとproofpointが検出の難しさを解説
本記事の中核概念「TDS」を正面から扱った解説。検出が難しい理由を知る予習に最適。

Google Sites悪用の新手口 – Chrome装うマルウェアがビジネスユーザーを狙う
正規サービスの信頼を悪用し、本物のソフトも配って気づかせない手口が今回と酷似する。

Reddit＆WeTransfer偽装サイト936件が稼働中、新型マルウェア「Lumma Stealer」の脅威とは
RemusStealerの系譜元Lummaと、大量の偽装サイトという論点が今回と重なる。

偽セキュリティサイトが拡散するマルウェア、Malwarebytes名乗る詐欺に警戒
正規ブランドを装い、そっくりのインストーラーで情報を盗む構図が共通する先行事例。

【編集部後記】

「検索で上位だから」「見た目が公式そっくりだから」という、これまで無意識に頼ってきた判断のものさしが、今回そのまま弱点になりました。私たちも日々、ツールやライブラリを検索から探しています。だからこそ、公式リポジトリをブックマークしておく、URL を一拍置いて見比べるといった習慣は、誰にとっても明日から始められる備えだと感じます。便利さと安全のあいだで、自分なりの確かめ方を持っておく――その小さな意識が、これからのデジタル環境ではいっそう大切になっていくのかもしれません。