Fortinet FortiGuard Labsが2025年8月に発見したSEOポイズニングキャンペーンは、中国語話者を標的として偽ソフトウェアサイトを通じてマルウェアを配布している。
攻撃者はSEOプラグインで検索ランキングを操作し、正規ソフトウェアサイトに酷似したなりすましドメインを登録した。
DeepL Translate、Google Chrome、Signal、Telegram、WhatsApp、WPS Officeなどの検索結果から偽サイトにリダイレクトされ、HiddenGh0stとWinos(ValleyRAT)が配信される。
これらはGh0st RATの亜種である。Winosの使用は、Silver Fox(SwimSnake、The Great Thief of Valley、UTG-Q-1000、Void Arachneとも呼称)に帰属され、このサイバー犯罪グループは2022年から活動している。
Zscaler ThreatLabzは別キャンペーンを確認し、2025年5月初旬からkkRATという新マルウェアがWinosおよびFatalRATと共に使用されている。
kkRATはGh0st RATと大灰狼の両方とコードの類似性を共有し、GitHub Pagesでホストされたフィッシングサイトを通じて配信される。
From: 
HiddenGh0st, Winos and kkRAT Exploit SEO, GitHub Pages in Chinese Malware Attacks
【編集部解説】
今回のSEOポイズニング攻撃は、サイバーセキュリティ脅威の進化を示す重要な事例といえるでしょう。従来のフィッシング攻撃が主にメールやSNSを利用していたのに対し、この攻撃では検索エンジンの信頼性を逆手に取った手法が使われています。
特に注目すべきは、攻撃者がGoogleの検索アルゴリズムを巧妙に操作している点です。SEOプラグインを悪用してランキングを上位に押し上げ、DeepL TranslateやGoogle Chromeといった日常的に使用されるソフトウェアの検索結果に偽サイトを表示させています。これは、ユーザーの検索行動を熟知した高度な攻撃手法といえます。
もう一つの重要な側面は、GitHub Pagesという信頼されたプラットフォームの悪用です。GitHubは開発者コミュニティにとって信頼の象徴であり、多くの企業でホワイトリストに登録されています。攻撃者はこの信頼を利用してセキュリティ対策を回避し、マルウェア配信の成功率を高めているのです。
技術的な観点では、Gh0st RATの進化が見逃せません。2008年にソースコードが流出して以降、このマルウェアは様々な形に変化し続けており、今回のHiddenGh0st、Winos、kkRATは全てその派生型です。特にkkRATは新たに発見された亜種で、Gh0st RATと大灰狼の特徴を併せ持っています。
これらのマルウェアが持つ暗号通貨ウォレットのハイジャック機能は、現代の金融犯罪の傾向を反映しています。従来のデータ窃取に加え、直接的な金融被害を狙う機能が組み込まれており、攻撃の収益性が大幅に向上しています。
Silver Foxグループの活動期間が少なくとも2022年後半からとされている点も重要です。これは組織化された長期的な活動を示しており、単発的な攻撃ではなく継続的な脅威として認識する必要があります。
このような攻撃の拡大は、企業のセキュリティ戦略にも影響を与えるでしょう。従来のメール・Web フィルタリングだけでは不十分となり、検索結果の検証やGitHubのような信頼されたプラットフォームからのダウンロードに対する警戒も必要になってきます。
【用語解説】
SEOポイズニング
検索エンジンの結果ページで悪意のあるサイトを上位表示させるサイバー攻撃手法。正規のSEO技術を悪用して検索ランキングを操作し、ユーザーを偽サイトに誘導する。
RAT(Remote Access Trojan)
感染したコンピューターを遠隔操作するマルウェア。攻撃者が被害者のシステムを完全に制御し、データ窃取やさらなる攻撃の足がかりとして利用される。
DLLサイドローディング
正規のアプリケーションが悪意のあるDLL(Dynamic Link Library)ファイルを読み込むように仕向ける攻撃手法。正規プロセスに偽装して検出を回避できる。
BYOVD(Bring Your Own Vulnerable Driver)
脆弱性を含むドライバーを悪用してシステム権限を取得する攻撃手法。正規署名されたドライバーを利用するため検出が困難。
TypeLib COMハイジャッキング
WindowsのCOM(Component Object Model)機能を悪用して持続的な感染を確立する手法。レジストリを操作して正規プロセスに偽装する。
【参考リンク】
Fortinet FortiGuard Labs(外部)
フォーティネットの脅威インテリジェンス研究組織。世界中に配置された数百万のセンサーから収集したデータを基に、最新の脅威情報を提供
Zscaler ThreatLabz(外部)
ゼットスケーラーの世界トップクラスのセキュリティ調査部門。マルウェアの調査や振る舞い分析、新しい脅威対策技術の研究開発
GitHub(外部)
ソフトウェア開発プラットフォーム。GitHub Pagesという静的サイトホスティング機能があり、今回の攻撃ではこの信頼性が悪用
【参考記事】
SEO Poisoning Attack Targets Chinese-Speaking Users with Fake Software Sites(外部)
Fortinetの公式ブログで今回の攻撃について詳細に解説。SEO操作による偽サイトへの誘導手法と、HiddenGh0stとWinosマルウェアの技術的分析
Technical Analysis of kkRAT(外部)
ZscalerによるkkRATの詳細な技術分析記事。2025年5月初旬からのマルウェアキャンペーンの発見経緯と、kkRATの機能について解説
Silver Fox APT攻撃の影の内幕(外部)
Silver Foxグループの活動期間と手法について詳述した記事。少なくとも2024年初頭からの活動と、台湾を標的とした攻撃キャンペーンを分析
How Threat Actors Can Use GitHub Repositories to Deploy Malware(外部)
CrowdStrikeによるGitHubプラットフォーム悪用に関する分析記事。信頼されたプラットフォームを利用したマルウェア配信の手法と対策を解説
【編集部後記】
この事案を読んで、皆さんは普段の検索行動を振り返ってみていかがでしょうか。Google検索で上位に表示されたサイトだから安全だと、つい油断してしまうことはありませんか。
攻撃者たちは私たちの「検索結果への信頼」を逆手に取り、巧妙に偽装したサイトへ誘導しています。特に人気ソフトウェアをダウンロードする際、URLをよく確認せずにクリックしてしまった経験をお持ちの方もいらっしゃるのではないでしょうか。
この記事をきっかけに、皆さんの組織や個人のセキュリティ対策について改めて考えてみませんか。どのような対策を取られているか、またこうした攻撃について疑問に思うことがあれば、ぜひコメントで共有していただけると嬉しいです。
