台湾のNGO(非政府組織)や大学を標的にした、これまでにない設計思想を持つマルウェアが確認された。Cisco Talosが解析した「LucidRook」は、Lua言語のインタープリタを本体に内蔵するという構造上の工夫によって、高い隠蔽性と柔軟な攻撃能力を両立している。単なる情報窃取ツールにとどまらない、成熟した脅威アクターによる組織的な標的型攻撃(APT)として注目に値する。

LucidRookとはどんなマルウェアか

LucidRookの最大の特徴は、Luaインタープリタを丸ごと内蔵したモジュラー設計にある。通常のマルウェアはバイナリ本体に機能を実装するが、LucidRookはLuaバイトコード形式で「第2ステージのペイロード」をC2(コマンド&コントロール)サーバーから取得・実行する。これにより、攻撃者はコアのDLLを変更することなく、攻撃内容をターゲットごとに柔軟に差し替えられる。

また、LuaバイトコードはC2への配信後すぐに削除できるため、インシデントレスポンス時に「ローダーは入手できたがペイロードが回収できない」という状況を意図的に作り出せる。フォレンジック妨害を設計段階から組み込んでいる点が、このマルウェアを「成熟した脅威アクター」たらしめている。

感染チェーンの2パターン

Cisco Talosは2025年10月の攻撃において、2系統の感染経路を確認している。

① LNKファイル経由 パスワード付きアーカイブを添付したフィッシングメールから始まり、LNKショートカットファイルがドロッパー「LucidPawn」を展開。LucidPawnは正規のMicrosoft Edgeに見せかけた実行ファイルと悪意あるDLL(DismCore.dll)を配置し、DLLサイドローディングの手法でLucidRookを起動する。台湾政府からの文書を模した「おとりドキュメント」を同時表示することで、ユーザーの注意をそらす。

② 偽セキュリティソフト経由 Trend Micro Worry-Free Business Security Servicesを偽装したEXEファイルを入口とするルート。セキュリティ製品そのものを騙ることで、ユーザーの警戒心を意図的に下げる設計だ。

偵察とデータ窃取の手口

感染後、LucidRookはユーザー名・コンピュータ名・インストール済みアプリ・実行中プロセスといったシステム情報を収集する。収集データはRSAで暗号化されパスワード付きアーカイブに格納されたうえで、FTP経由で攻撃者インフラへ送出される。

関連ツール「LucidKnight」も確認されており、こちらはGmailのGMTPプロトコルを悪用してデータを外部送信する。正規サービスをC2の代替として使う戦術は、ファイアウォールやプロキシによる検知を困難にする。

なぜこれが重要か

台湾のNGOや大学が標的となっているが、日本のIT現場にとっても対岸の火事ではない

第一に、攻撃グループUAT-10362の「成熟した作戦能力(mature operational tradecraft)」という評価は、標的を絞った持続的な侵入を得意とするタイプであることを示す。研究機関・公益団体・サプライチェーン上流の企業は等しくリスクを負っている。

第二に、Luaバイトコードというアプローチは「ペイロードレス・アーキテクチャ」の一形態であり、従来のシグネチャベース検知が効きにくい。EDR(エンドポイント検出・対応)ソリューションの振る舞い検知に頼ざるを得ない状況を作り出している。

第三に、偽セキュリティソフトによる感染経路は、セキュリティ意識の高いユーザーほど騙されやすいという逆説を突く。「ウイルス対策ソフトのインストール画面だから安全」という先入観が仇となる。

実務での活用ポイント

IT管理者・セキュリティ担当者向け

  • LNKファイルの実行制限: グループポリシーまたはMicrosoft Intune(AppLocker/WDAC)でLNKファイルの外部からの実行をブロックする。メールやWebからのLNKは即座に疑うよう啓発する
  • DLLサイドローディング対策: Windowsの「COMオブジェクト登録チェック」や、Defender for Endpointの攻撃面縮小(ASR)ルールでサイドローディングに対する検知精度を上げる
  • FTPアウトバウンドのブロック: 多くの日本企業はFTP送信を許可したままにしがちだが、業務上の必要性がなければ全面遮断が望ましい
  • パスワード付きアーカイブの扱い: ゲートウェイで自動展開できないアーカイブはサンドボックス解析に送るフローを整備する
  • 正規サービス(Gmail等)経由の通信監視: DLP(データ損失防止)ポリシーとCASBを組み合わせ、クラウドサービス経由の大容量データ送信を検知する

筆者の見解

LucidRookが示す最も重要な教訓は、「現在動いているから安全」という前提がいかに危ういかだ。Luaバイトコードをオンデマンドで取得・削除する設計は、ペイロードを常駐させないことで痕跡を最小化する。感染後しばらくは何も起きていないように見える可能性すらある。

ゼロトラスト原則でいう「Never trust, always verify」をエンドポイント内部のプロセス動作にも適用する時代がきている。境界型防御で外からの侵入を防ぐ思想ではなく、内部での異常な振る舞い——たとえば「Microsoft Edge」を名乗るプロセスが意図しないDLLを読み込む動作——を検知するアーキテクチャへの移行が急務だ。

日本の大手エンタープライズを見ると、旧来のネットワーク境界防御と部分的なゼロトラスト実装が中途半端に混在している環境がいまだ多い。LucidRookのようなツールはそのギャップを正確に突いてくる。「層の薄いところを探して入る」のが高度な攻撃者の常套手段だからだ。

セキュリティは好き嫌いの話ではない。インフラを守るための設計思想として、全体最適で見直す機会を今こそ作ってほしい。部分的な対策の積み上げが全体としての脆弱性を生む——これはコストの問題である前に、設計哲学の問題だ。

出典: この記事は New ‘LucidRook’ malware used in targeted attacks on NGOs, universities の内容をもとに、筆者の見解を加えて独自に執筆したものです。