Last Updated on 2025-06-24 09:41 by TaTsu
フランスのサイバーセキュリティ企業HarfangLabは2025年6月23日、Go言語で開発されたマルウェア「XDigo」が2025年3月に東欧の政府機関を標的とした攻撃で使用されたと発表した。
攻撃者はWindowsショートカット(LNK)ファイルの脆弱性「ZDI-CAN-25373」を悪用し、多段階の感染チェーンでマルウェアを展開した。この脆弱性は2025年3月にTrend Microが公開したもので、細工されたLNKファイルによってユーザーに気づかれることなくコードを実行できる。
XDigoは2011年から東欧・バルカン半島の政府機関を標的とするサイバー諜報グループ「XDSpy」の新しいツールとみられる。マルウェアはファイル収集、クリップボード内容抽出、スクリーンショット撮影機能を持ち、HTTP通信でデータを窃取する。
攻撃では9つのLNKファイルがZIPアーカイブで配布され、囮のPDFファイル、正規実行ファイル、不正DLL「ETDownloader」が含まれていた。ミンスク地域で少なくとも1つの標的が確認され、ロシアの小売企業、金融機関、保険会社、政府郵便サービスも標的とされた。
From: 
XDigo Malware Exploits Windows LNK Flaw in Eastern European Government Attacks
【編集部解説】
今回のXDigoマルウェア事件は、同時期に発見されたFINALDRAFTやAsyncRATキャンペーンと比較すると、XDigoの特徴的な点はWindowsの仕様実装の乖離を悪用した巧妙さにあります。
MicrosoftのMS-SHLLINK仕様では文字列の最大長を65,535文字と定めているものの、実際のWindows 11では259文字に制限されています。この差異により、サードパーティのセキュリティツールでは無害に見えるファイルが、Windows上では全く異なる悪意のあるコマンドを実行する状況が生まれました。これは従来のシグネチャベースの検知手法では対応困難な新たな攻撃ベクターといえるでしょう。
XDSpyグループの活動期間の長さも特筆に値します。2011年から14年間にわたって活動を続けながら、2020年まで発見されなかった事実は、高度な隠蔽技術と運用セキュリティの証左です。同グループがPT SecurityのSandboxソリューションからの検出を回避する初のマルウェアを開発したという報告も、その技術力の高さを物語っています。
技術的な観点では、Go言語で開発されたXDigoマルウェアの多機能性が脅威となっています。ファイル収集、クリップボード監視、スクリーンショット撮影に加え、リモートサーバーからのコマンド実行機能を持つため、感染後の被害拡大が懸念されます。
地政学的な文脈も見逃せません。東欧・バルカン半島の政府機関を継続的に標的とする一方で、ロシアやモルドバの民間企業も攻撃対象としている点は、単純な国家間対立を超えた複雑な動機を示唆しています。
この事件が示すリスクは、OSレベルの仕様実装の不整合が新たな攻撃ベクターとなり得ることです。2025年に確認された他の新型マルウェアと同様、従来のセキュリティ対策では防ぎきれないケースが増加している現状を裏付けています。
長期的には、OS開発における仕様の厳密な実装と、セキュリティツール間の連携強化が急務となります。また、政府機関や重要インフラ事業者においては、従来の境界防御に加えて、内部ネットワークでの異常検知能力の向上が不可欠となっています。
【用語解説】
XDigo
Go言語で開発されたマルウェア。ファイル収集、クリップボード監視、スクリーンショット撮影機能を持つ情報窃取型の悪意あるソフトウェア。2025年3月の東欧政府機関攻撃で使用された。
XDSpy
2011年から活動する東欧・バルカン半島の政府機関を標的とするサイバー諜報グループ。長期間にわたって発見されずに活動を続け、PT SecurityのSandbox回避技術を初めて実装したことでも知られる。
LNKファイル
Windowsのショートカットファイル。アプリケーションや文書へのリンクを作成するファイル形式だが、悪用されると悪意のあるコードを実行する可能性がある。
ZDI-CAN-25373
WindowsのLNKファイル処理における脆弱性。細工されたLNKファイルによって、ユーザーに気づかれることなく悪意のあるコードを実行できる。2025年3月にTrend Microが公開。
ETDownloader
XDigoマルウェアを配信する第1段階のダウンローダー。正規のMicrosoft実行ファイルを悪用してDLLサイドローディングにより実行される。
DLLサイドローディング
正規のアプリケーションに悪意のあるDLLファイルを読み込ませる攻撃手法。正規プログラムの信頼性を悪用して検知を回避する。
Silent Werewolf
BI.ZONEが追跡するXDSpyグループの別名。モルドバとロシアの企業を標的とした攻撃活動で使用される。
MS-SHLLINK仕様
MicrosoftがLNKファイルの構造を定義した技術仕様バージョン8.0。実装と仕様の乖離(仕様:65,535文字、実装:259文字)が攻撃に悪用されている。
【参考リンク】
HarfangLab(外部)
フランスのサイバーセキュリティ企業。AI搭載のEDRソリューションを開発し、今回のXDigoマルウェア分析を実施した。
Trend Micro Zero Day Initiative (ZDI)(外部)
脆弱性研究とセキュリティ情報を提供するTrend Microの部門。ZDI-CAN-25373脆弱性を最初に公開した組織。
PT Security(外部)
ロシアのサイバーセキュリティ企業。XDSpyマルウェアが同社の検知を回避する初のマルウェアとして報告された。
BI.ZONE(外部)
ロシアのサイバーセキュリティ企業。Silent Werewolf(XDSpy)グループの攻撃活動を追跡・分析した。
【参考記事】
2025年に確認された新型マルウェアについて(外部)
2025年に発見された新型マルウェア(FINALDRAFT、AsyncRAT、ANEL等)の特徴と感染手法を包括的に解説。
東欧の政府機関を標的とした攻撃で、新たなGo言語製マルウェア(外部)
XDigoマルウェアによる東欧政府機関攻撃について日本語で簡潔にまとめたソーシャルメディア投稿。
【編集部後記】
今回のXDigoマルウェア事件を通じて、私たちの日常で使うWindowsショートカットファイルが、実は巧妙な攻撃の入り口となり得ることが明らかになりました。
2025年に入って確認された新型マルウェアの中でも、XDigoのようにOS仕様の盲点を突く攻撃手法は特に注意が必要です。皆さんは普段、メールの添付ファイルやダウンロードしたZIPファイルを開く際、どのような点に注意を払っていますか?従来のセキュリティ対策では防ぎきれない新たな脅威に対して、私たちユーザーにできる対策について、ぜひ一緒に考えてみませんか。
