ウクライナ政府・病院を標的にした新マルウェア「AgingFly」——実行時コンパイルで静的検知を回避する巧妙な設計

ウクライナのCERT（CERT-UA）が2026年4月、地方政府機関や病院を標的にした新たなマルウェアファミリー「AgingFly」を特定した。このマルウェアの最大の特徴は、コマンドハンドラーをあらかじめ実行ファイルに内蔵せず、C2サーバーからC#ソースコードを受け取って実行時に動的コンパイルするという構造にある。ハッシュ・シグネチャベースの静的検知を大きく困難にする設計であり、遠い国の話として流せない技術的示唆を多く含んでいる。

攻撃チェーンの全貌

攻撃の起点は「人道支援のオファー」を装ったフィッシングメール。リンクをクリックすると、XSS脆弱性を突いて侵害された正規サイト、またはAIツールで生成された偽サイトへ誘導される。

被害者がダウンロードするアーカイブにはLNKショートカットが含まれており、HTA（HTMLアプリケーション）ハンドラーを起動。HTAはリモートリソースからさらなるHTAを取得・実行し、デコイフォームで注意をそらしながら、スケジュールタスクでEXEペイロードを正規プロセスにインジェクションする。その後、XOR暗号化されたTCPセッションでC2サーバーに接続し、AgingFly本体が展開される。

AgingFlyの技術的特徴——動的コンパイルによる検知回避

C#で実装されたAgingFlyは、リモートコントロール・コマンド実行・ファイル窃取・スクリーンショット・キーロガー・任意コード実行といった機能を持ち、WebSocket経由（AES-CBC暗号化）でC2サーバーと通信する。

注目すべきはコマンドハンドラーの動的コンパイルだ。従来のマルウェアは機能を実行可能ファイルに埋め込むが、AgingFlyはC2から受け取ったC#ソースコードをホスト上でその場でコンパイルして実行する。これにより：

• 初期ペイロードを小さく保てる
• 機能を必要に応じてオンデマンドで追加・変更できる
• ハッシュ・シグネチャベースの静的検知をほぼ無効化できる

一方で、この手法はC2への常時接続依存、実行時のフットプリント増加、コンパイル動作による挙動検知リスクという弱点も抱える。つまり、EDR（Endpoint Detection and Response）による行動監視は依然として有効な対抗手段だ。

認証情報窃取に悪用されるオープンソースツール

AgingFlyの前段階では、オープンソースのセキュリティツールが認証情報窃取に流用されている：

• ChromElevator：Chromiumベースブラウザ（Chrome、Edge、Brave）の保存パスワードやCookieを管理者権限なしで復号・抽出できるツール
• ZAPiDESK：WhatsApp for Windowsのデータベースを復号してメッセージ等を取り出すフォレンジックツール

さらに、C2サーバーのアドレスをTelegramチャンネルから取得するPowerShellスクリプト「SILENTLOOP」が使われており、Telegramを指令インフラの中継に使う手法は単純なC2ドメインブロックが効きにくい理由でもある。横展開にはRustScanポートスキャナー、Ligolo-ng・Chiselトンネリングツールが使われ、初期侵入後に素早く内部探索が進む。

実務への影響

日本の組織がこの攻撃パターンから学ぶべき点は3つある。

1. LNK / HTA / JSファイルの実行制限 CERT-UAが推奨する通り、グループポリシーやAppLockerでこれらのファイルタイプの実行を制限することが最も効果的な初期侵入対策の一つだ。メールやWebからのダウンロードに対して、ファイルタイプでの実行制御は今すぐ実施できる低コスト対策だ。

2. ブラウザ認証情報の保存を見直す ChromElevatorに代表される手法は、管理者権限なしでも実行可能という点が重大だ。エンタープライズ環境では認証情報を専用のシークレット管理基盤や条件付きアクセスと連携したパスワードレス認証に移行することを強く推奨する。

3. WhatsApp for Windowsを業務利用している環境への注意 業務コミュニケーションにWhatsAppを用いている組織は、そのローカルデータが標的になりうることを認識する必要がある。特に規制業種では業務チャットの管理ポリシーと保存場所の整備が急務だ。

筆者の見解

AgingFlyが示す最も重要なシグナルは、「静的検知の限界」だ。コマンドハンドラーを動的コンパイルするアプローチは、従来のシグネチャ型アンチウイルスをほぼ無力化する。「セキュリティ製品を入れてあれば大丈夫」という感覚では通用しない時代に確実になっている。

もう一点引っかかるのが、オープンソースツールの流用だ。ChromElevatorもZAPiDESKも本来はセキュリティ研究・フォレンジック目的のツールだが、それが攻撃インフラの一部として使われている。「今動いているから大丈夫」では済まない現実を改めて突きつけられる。

そして見逃せないのが、Telegramをインフラとして使うという点だ。正規のクラウドサービスを踏み台にする手法は、従来のネットワーク境界防御では根本的に検知が難しい。これこそがゼロトラストアーキテクチャが必要な理由の一つであり、「ネットワーク内にいるから信頼する」という前提の危うさを改めて示している。

最終的に防御側が強みにできるのは、行動ベースの異常検知と、認証・認可の厳格化だ。「常時アクセス権の付与」をやめてJust-In-Timeアクセスに移行し、初期侵入を阻止できなかった場合でも横展開を封じる多層防御の構築が、これからのセキュリティ運用の基本線になる。このウクライナでの攻撃事例を、自組織の設計を見直すきっかけにしてほしい。

出典: この記事は New AgingFly malware used in attacks on Ukraine govt, hospitals の内容をもとに、筆者の見解を加えて独自に執筆したものです。