サイバーセキュリティ企業eSentireが、Rustベースのバックドアマルウェア「ChaosBot」を2025年9月下旬に金融サービス顧客の環境内で検出した。
攻撃者はCisco VPNと「serviceaccount」という名前の過度な権限を持つActive Directoryアカウントの侵害された認証情報を利用し、WMIを使ってネットワーク内のシステム全体でリモートコマンドを実行してChaosBotを展開した。
ChaosBotはコマンド・アンド・コントロールにDiscordを悪用し、「chaos_00019」と「lovebb0024」というDiscordアカウントを通じて指示を受け取る。また、Fortinet FortiGuard LabsはC++で記述されたChaosランサムウェアの新亜種「Chaos-C++」を報告したと報じられている。
このランサムウェアは1.3 GBより大きいファイルを暗号化ではなく削除し、クリップボードを監視してビットコインアドレスを攻撃者のウォレットに置き換える機能を持つと言われている。
From: 
New Rust-Based Malware “ChaosBot” Uses Discord Channels to Control Infected Systems
【編集部解説】
今回のChaosBotとChaos-C++の報告は、サイバー攻撃の手法が急速に高度化していることを示す重要な事例です。特に注目すべきは、攻撃者がDiscordという一般的なコミュニケーションツールをコマンド・アンド・コントロールインフラとして悪用している点でしょう。Discordは正規のトラフィックとして扱われるため、従来型のセキュリティ対策では検知が困難になります。
ChaosBotがRustで開発されている点も見逃せません。Rustはメモリ安全性が高く、クロスプラットフォーム対応が容易な言語として注目されていますが、マルウェア開発者にとっても同様のメリットがあります。リバースエンジニアリングが困難になるため、セキュリティ研究者による解析を遅らせる効果があるのです。
侵入経路として「serviceaccount」という名前の過度な権限を持つActive Directoryアカウントが狙われた点は、企業のセキュリティ体制における根本的な課題を浮き彫りにしています。管理者権限を持つアカウントの適切な管理と多要素認証の導入が、いかに重要かを再認識させられます。
一方、Chaos-C++ランサムウェアの進化は、攻撃者の戦略が単なる身代金要求から、より直接的な金銭窃取へとシフトしていることを示しています。1.3 GB以上のファイルを暗号化せず削除するという設計が事実であれば、これは効率性を重視した結果であり、クリップボード監視によるビットコインアドレスの置き換えは被害者が気づかないうちに送金先を変更する巧妙な手法といえます。
この二つの脅威が同時期に報告されたことは、サイバー犯罪エコシステムが多様化し、攻撃手法が専門化していることを物語っています。企業は従来の境界防御だけでなく、ゼロトラストアーキテクチャの導入や、エンドポイント検知・応答(EDR)システムの強化が急務となるでしょう。
【用語解説】
Rust
メモリ安全性とパフォーマンスを両立したプログラミング言語。近年、システムプログラミングの分野で注目されており、マルウェア開発者にも採用されている。
Active Directory
Microsoftが開発した、ネットワーク上のユーザーやコンピューターを一元管理するためのディレクトリサービス。企業ネットワークで広く利用されている。
WMI(Windows Management Instrumentation)
Windowsシステムの管理や監視を行うためのインフラ。正規の管理ツールだが、攻撃者によって悪用されることがある。
DLLサイドローディング
正規のアプリケーションが読み込むDLLファイルを悪意のあるものに置き換える攻撃手法。正規プログラムの信頼性を悪用する。
ETW(Event Tracing for Windows)
Windowsのシステムイベントを記録・追跡する機能。セキュリティ監視に利用されるが、マルウェアによって無効化されることがある。
クリップボードハイジャック
ユーザーがコピーしたデータを監視し、攻撃者が意図する内容に置き換える攻撃手法。特に暗号通貨のウォレットアドレスの改ざんに使われる。
【参考リンク】
Discord(外部)
音声・ビデオ通話やテキストチャット機能を持つコミュニケーションプラットフォーム。C2インフラとして悪用されるケースも報告されている。
Visual Studio Code(外部)
Microsoftが開発したオープンソースのコードエディタ。トンネル機能が攻撃者に悪用される可能性がある。
Fast Reverse Proxy (FRP)(外部)
ファイアウォールの背後にあるサービスを外部公開するリバースプロキシツール。攻撃者が永続的アクセスに悪用することがある。
【参考記事】
eSentire Threat Intelligence: ChaosBot Technical Report(外部)
eSentireの公式技術レポート。ChaosBotの詳細な動作メカニズム、ETW回避技術、仮想マシン検知機能などを解析している。
Fortinet Analysis: Chaos-C++ Ransomware with Destructive Capabilities(外部)
Fortinet FortiGuard LabsによるChaos-C++ランサムウェアの分析。暗号化手法やSystem Optimizer v2.1を装った配布方法を詳述している。
【編集部後記】
今回のChaosBotとChaos-C++の事例から、私たちが日常的に使うDiscordのようなツールも攻撃の入り口になり得ることが分かります。皆さんの組織では、管理者権限を持つアカウントの運用ルールは明確になっているでしょうか。また、クリップボードに暗号通貨のアドレスをコピーした際、貼り付ける前に一度確認する習慣はお持ちでしょうか。
サイバーセキュリティは、もはや専門部署だけの問題ではありません。一人ひとりの小さな注意が、組織全体を守る大きな防波堤になります。この記事をきっかけに、身近なセキュリティ対策を見直してみませんか。
