バンキング型トロイの木馬「Coyote」がWindowsのアクセシビリティ機能 Windows UI Automationを悪用する初の実例が2025年7月24日に報告された。
Akamaiの調査によれば、同マルウェアは2024年2月から活動し、ブラジル国内の75行・暗号資産取引所を標的とする。
感染経路はZIPに格納された.LNKファイルで、開封と同時にPowerShellが起動して追加ペイロードを取得する。侵入後はGetForegroundWindow APIでウィンドウタイトルを確認し、該当しない場合にUIAでブラウザのタブやアドレスバーを解析して認証情報を窃取する。
オンライン・オフライン双方で動作し、C2サーバーへシステム情報を送信し続ける。
From: 
Banking Trojan Coyote Abuses Windows UI Automation
【編集部解説】
今回のCoyoteマルウェアによるWindows UI Automation悪用は、サイバーセキュリティ業界にとって極めて重要な転換点を示しています。これまで理論上の脅威に留まっていた攻撃手法が、ついに実戦投入されたからです。
Windows UI Automationとは何か
Windows UI Automation(UIA)は、視覚障害者向けのスクリーンリーダーや自動テストツールが、Windowsアプリケーションの要素にアクセスできるよう設計されたMicrosoftの正当なフレームワークです。このシステムにより、外部プログラムがボタン、メニュー、テキストフィールドなどのUI要素を識別し、操作することが可能になります。
攻撃手法の革新性
従来のマルウェアがブラウザにコードを注入してデータを抽出する手法と比較すると、UIA悪用は圧倒的に効率的で検出困難です。ブラウザの微細なUI変更やバージョン差異で機能しなくなる従来手法に対し、UIAは「はるかにシンプルで信頼性が高く汎用的な方法」を提供します。
セキュリティ業界への深刻な影響
この攻撃の最も憂慮すべき点は、正当なWindowsの機能を悪用するため、従来のエンドポイント検知・対応(EDR)ソリューションをすり抜けてしまうことです。Akamaiの研究者が2024年12月に警告していた理論的脅威が、わずか数ヶ月で実用化されました。
技術的な巧妙さ
Coyoteはオンライン・オフライン両方の状況で動作し続ける設計になっており、接続が切断されてもローカルでの情報収集を継続します。また、GetForegroundWindow() APIで現在のウィンドウタイトルを確認し、標的リストに該当しない場合にのみUIAを使用するという段階的アプローチを採用しています。
拡大する標的範囲
当初61機関を標的としていたCoyoteは、現在75の金融機関と暗号通貨取引所に拡大しており、一部の変種では1,030のウェブサイトを監視対象としています67。この急速な拡大は、攻撃手法の有効性を物語っています。
将来への懸念と展望
現在はブラジルに限定されているものの、サイバー犯罪者が新しい手法を特定地域でテストしてから世界展開する傾向を考慮すると、国際的な拡散は時間の問題でしょう。UIAの悪用は「極めて費用対効果が高く効率的」であるため、他のマルウェア開発者による模倣が予想されます。
防御の困難さ
UIA悪用の検出には、従来のシグネチャベース検出では限界があり、より高度な行動ベース検出システムが必要になります。これは企業のセキュリティ投資の方向性に大きな影響を与える可能性があります。
技術進歩の二面性
この事例は、アクセシビリティ向上を目的とした技術が悪用される現実を浮き彫りにしています。正当な機能の悪用という手法は、今後のソフトウェア設計において「セキュリティ・バイ・デザイン」の重要性をより一層高めることでしょう。
【用語解説】
バンキング型トロイの木馬
金融認証情報の窃取を目的とするマルウェア。
C2サーバー
攻撃者が感染端末を遠隔操作する指令・情報収集サーバー。
.LNKファイル
Windowsショートカット。スクリプト埋込で初期侵入に悪用される。
GetForegroundWindow API
現在アクティブなウィンドウハンドルを取得するWindows API。
フィッシングオーバーレイ
正規画面上に偽入力画面を重ねる情報窃取手法。
【参考リンク】
Akamai(外部)
クラウドCDNとセキュリティを提供する米国企業。脅威研究ブログを運営。
Microsoft Learn – UI Automation(外部)
UI Automationの概要とAPIリファレンスを掲載する公式ドキュメント。
Fortinet(外部)
ネットワーク&エンドポイント保護製品を持つセキュリティベンダー。
Kaspersky(外部)
グローバルなマルウェア研究で知られるセキュリティ企業。
【参考記事】
Coyote in the Wild: First-Ever Malware That Abuses UI Automation(外部)
AkamaiがUIA悪用の技術詳細と75機関標的を解説。UIA検出方法も提示。
New Coyote Malware Variant Exploits Windows UI Automation(外部)
The Hacker NewsがAkamai分析を引用し、攻撃フローと影響範囲を報道。
Coyote Banking Trojan First to Abuse Microsoft UIA(外部)
Security WeekがUIA悪用の業界初事例として解説し、多層防御の必要性を指摘。
Coyote malware abuses Windows accessibility framework for data theft(外部)
BleepingComputerが被害状況とMicrosoftへの問い合わせを報道。
【編集部後記】
今回のCoyoteによるWindows UI Automation悪用は、アクセシビリティ技術の「想定外の悪用」を示した衝撃的な事例でした。視覚障害者支援のために設計された正当な機能が、金融情報を狙うサイバー犯罪の武器になるとは誰が想像できたでしょうか。
従来の検出手法では「正当な機能を正当に使う攻撃」は防げません。これは、まるで正面玄関から堂々と入ってくる泥棒のような状況です。今後は「何が実行されているか」ではなく「どのような振る舞いをしているか」に重点を置いた防御が必要になります。
最も深刻なのは、セキュリティ強化がアクセシビリティ機能の制限につながる可能性があることです。包摂性とセキュリティを両立する「第三の道」を見つけることが、私たち技術者の責務だと感じています。皆さんは、この複雑なバランスについてどうお考えでしょうか。
