サイバーセキュリティ研究者が、未知の脅威アクターがオープンソースのエンドポイント監視・デジタルフォレンジックツール「Velociraptor」を悪用したサイバー攻撃を報告した。
Sophos Counter Threat Unit Research Teamが今週公開したレポートによると、攻撃者はこのツールを使用してVisual Studio Codeをダウンロード・実行し、攻撃者制御のコマンド・アンド・コントロールサーバーへのトンネル作成を試みた。攻撃者はWindows msiexecユーティリティを使用してCloudflare WorkersドメインからMSIインストーラーをダウンロードし、CloudflareトンネリングツールやRadminなどの追加ツールも展開した。同時期に、サイバーセキュリティ企業HuntersとPermisoが、Microsoft Teamsを初期アクセスに活用する悪意キャンペーンについて詳述した。この攻撃では、ITヘルプデスクになりすました脅威アクターがAnyDesk、DWAgent、Quick Assistなどのリモートアクセスソフトウェアをインストールさせる。類似技術は2024年半ば以降、Black Bastaなどのランサムウェアグループと関連している。
From: 
Attackers Abuse Velociraptor Forensic Tool to Deploy Visual Studio Code for C2 Tunneling
【編集部解説】
今回のVelociraptor悪用事件は、サイバーセキュリティ業界における重要なパラダイムシフトを示しています。攻撃者が独自のマルウェアを開発・展開する従来の手法から、正規のセキュリティツールそのものを武器化する新たな戦術への移行です。
Velociraptorは本来、セキュリティ専門家がインシデント対応やデジタルフォレンジック調査に使用するオープンソースツールです。エンドポイントの監視、証跡収集、脅威ハンティングなどの機能を提供し、組織のセキュリティ態勢強化に貢献してきました。しかし攻撃者は、このツールの正当性と高い権限を逆手に取り、検知回避と持続的なアクセス確保を実現しています。
この事件の検知には、SecureworksのTaegisプラットフォーム(現在はSophosが買収)が重要な役割を果たしました。Visual Studio Codeのトンネル機能が有効化された際にTaegisアラートが発動し、迅速な調査と対応を可能にしています。
特に注目すべきは、Visual Studio Codeのトンネル機能との組み合わせです。この攻撃手法は2024年から確認されており、中国系APTグループ「Stately Taurus(Mustang Panda)」による東南アジア政府機関への攻撃や、2024年6-7月の「Operation Digital Eye」キャンペーンで観測されています。今回のVelociraptor悪用事件は2025年8月に発生しており、この手法の進化と拡散を示しています。Visual Studio Codeは開発者にとって不可欠なツールであり、その正当性ゆえに多くのセキュリティソリューションが検知対象から除外しています。
このような攻撃手法の背景には、従来のマルウェア検知技術の向上があります。機械学習ベースの検知システムやサンドボックス分析の普及により、カスタムマルウェアの検知率が向上した結果、攻撃者は「Living off the Land」戦術に移行せざるを得なくなりました。正規ツールの悪用は、シグネチャベースの検知を困難にし、システム管理者の警戒心も低下させる効果があります。
攻撃者は具体的に「files[.]qaubctgg[.]workers[.]dev」をツール配信サーバーとして、「velo[.]qaubctgg[.]workers[.]dev」をC2サーバーとして使用しています。CloudflareのWorkers機能を悪用したこのインフラ構築は巧妙です。正当なCDNサービスを利用することで、通信の検知を困難にし、ドメインの信頼性を向上させています。こうした合法的なクラウドサービスの悪用は、今後も増加が予想される重要な脅威ベクトルです。
この事件が示唆する長期的影響は深刻です。セキュリティツール自体への信頼性が問われ、組織は従来の「許可リスト」的なアプローチの見直しを迫られています。また、開発者ツールやセキュリティツールに対する監視強化が必要となり、IT運用の複雑性が増大する可能性があります。
対策として、組織は行動ベースの検知手法への移行、未承認ツールの実行監視強化、そして何より重要なのは、「正当なツール」であっても異常な使用パターンを検知できる仕組みの構築です。ゼロトラストアーキテクチャの考え方に基づき、すべてのツールとプロセスを継続的に監視・検証する体制が求められています。
【用語解説】
Velociraptor
エンドポイント監視とデジタルフォレンジック調査に特化したオープンソースツール。VQL(Velociraptor Query Language)を使用してシステム情報を収集・分析し、インシデント対応や脅威ハンティングを効率化する。
Living off the Land(LotL)
攻撃者が独自のマルウェアを使わず、標的システムに既存の正当なツールやOS機能を悪用して攻撃を実行する手法。検知回避と痕跡隠蔽に有効とされる。
C2(Command and Control)サーバー
攻撃者が侵入したシステムを遠隔操作するための指令統制サーバー。マルウェアとの通信拠点として機能し、データ窃取や追加攻撃の起点となる。
msiexec
WindowsのMSI(Microsoft Installer)パッケージを処理するシステムユーティリティ。正当なソフトウェアインストールに使用されるが、攻撃者によって悪用されることも多い。
Visual Studio Codeトンネル機能
開発者が異なる環境間でセキュアな接続を確立し、リモートでコード編集や実行を可能にする機能。GitHubアカウント認証を経てWebブラウザから利用できる。
Stately Taurus(Mustang Panda)
中国系APTグループの一つ。東南アジアの政府機関やNGOを主要標的とし、情報収集活動を行う。Visual Studio Codeの悪用事例で初めて確認された脅威アクター。
EDR(Endpoint Detection and Response)
エンドポイントの活動を継続的に監視し、脅威の検知・対応を自動化するセキュリティソリューション。従来のアンチウイルスを超えた高度な脅威対策機能を提供する。
Cloudflare Workers
Cloudflareが提供するサーバーレスプラットフォーム。エッジコンピューティング環境でJavaScriptコードを実行でき、攻撃者によってマルウェア配信の中継地点として悪用されるケースが増加している。
Taegis
Secureworksが開発し、現在はSophosが提供するクラウドネイティブなXDR(Extended Detection and Response)プラットフォーム。5兆件以上のイベントを週次で処理し、脅威の優先度付けとアラート生成を自動化する。
【参考リンク】
【参考記事】
【編集部後記】
今回の事件は、私たちが日頃信頼している開発ツールやセキュリティツールが、攻撃者によって武器化される現実を突きつけています。Visual Studio CodeやVelociraptorのような正当なツールの使用状況。TaegisのようなXDRプラットフォームで異常なツール実行を検知する体制などは整っているでしょうか。
この変化は、私たち全員にとって新たな課題です。従来の「悪いものを弾く」アプローチから、「すべてを疑う」ゼロトラストの考え方への転換が求められています。正当なツールの異常利用をどのように検知・対応しているのか。改めて見直す等の検討の必要性を感じました。
