暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Apple Pay、カード、Google Pay、銀行送金などで仮想通貨を売買できます
P2P
0 Fees
手数料ゼロ、400以上の決済オプション、シームレスな暗号資産の売買
Gateカード
シームレスなグローバル取引を可能にする暗号決済カード。
相場情報
取引
基礎
上級
先物
先物
USDTまたはBTC決済の数百件の契約
TradFi
ゴールド
USDTで世界の伝統的資産をワンストップ取引
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
先物キックオフ
先物取引の準備をする
先物イベント
イベントに参加して、豪華な報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
tag
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
コミュニティ
スクエア
投稿を共有、暗号やその他の情報を入手
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
もっと
プロモーション
その他
TradFi
giveaways
報酬センター

Windows Explorerを介したRATマルウェアが暗号資産を危険にさらす

LiveBTCNews

Cofense Intelligenceは、脅威アクターがWindowsファイルエクスプローラーとWebDAVサーバーを悪用してブラウザのセキュリティを回避し、企業ターゲットにリモートアクセストロイの木馬(RAT)を押し込む方法を明らかにしています。

脅威アクターは、ウェブブラウザを一切経由せずにマルウェアを企業のマシンに直接押し込む方法を見つけました。Cofense Intelligenceは2026年2月25日に、WindowsファイルエクスプローラーのリモートWebDAVサーバーへの接続機能を武器にした活動を公開しました。この戦術は、標準のブラウザダウンロード警告を完全に回避します。ほとんどのユーザーは、ファイルエクスプローラーがインターネットサーバーにアクセスできることを知らないのです。

WebDAVは古いHTTPベースのファイル管理プロトコルです。現在ではほとんど使われていませんが、Windowsは2023年11月に非推奨としたにもかかわらず、依然としてファイルエクスプローラー内でネイティブにサポートしています。その非推奨から完全削除までの間に、攻撃者が踏み込む隙が生まれています。

フォルダは本当にフォルダではない

Cofense Intelligenceの公開レポートによると、このキャンペーンの規模は2024年2月に初めて現れ、その後2024年9月に急激に増加しました。それ以降も活動は続いています。攻撃は鈍化していません。この戦術に関連するすべてのアクティブ脅威レポートの87%は、複数のリモートアクセストロイの木馬(RAT)を最終ペイロードとして配信しています。最も頻繁に登場するのはXWorm RAT、Async RAT、DcRATです。

必読: 暗号セキュリティ侵害:1月のハッキング総額8600万ドル、フィッシングの急増

攻撃の仕組み

被害者はフィッシングメールを受け取ります。多くはドイツ語の請求書に偽装されています。メールにはURLショートカットファイル(.url)またはLNKショートカットファイル(.lnk)が添付されています。どちらも静かにファイルエクスプローラー内でWebDAV接続を開くことができます。ユーザーにはローカルフォルダのように見えますが、実際はそうではありません。

この攻撃の特に危険な点は、その後に続く連鎖です。スクリプトは別のWebDAVサーバーから追加のスクリプトをダウンロードします。正規のファイルとマルウェアが混在し、検知を曖昧にします。RATが到達する頃には、配信経路は複数の難読化層を通過しています。ブラウザのダウンロードをスキャンするセキュリティツールは、この一連の流れを見逃します。

Cofenseのレポートによると、影響を受けたキャンペーンの50%はドイツ語で行われており、英語のキャンペーンは30%を占めています。イタリア語とスペイン語も残りを構成しています。この分割は、ヨーロッパの企業メールアカウントを主なターゲット層として示しています。

あなたも知るべき: npm Wormが暗号鍵を盗み、19のパッケージを標的に

攻撃者はCloudflare Tunnelを利用して攻撃を支えています。これらの戦術に関連するすべてのアクティブ脅威は、trycloudflare[.]comの無料デモアカウントを使って悪意のあるWebDAVサーバーをホストしています。Cloudflareのインフラが被害者の接続をルーティングし、最初の検査では正当なトラフィックに見えます。デモアカウントは短期間で削除されるため、攻撃が活発になるとすぐに追跡が困難になります。

暗号資産保有者が直面する深刻なリスク

ここから危険が増します。XWormやAsync RATのようなRATは、感染したマシンへの持続的なリモートアクセスを可能にします。これにより、クリップボードの内容、ブラウザセッション、保存されたパスワード、暗号ウォレットのファイルなどがすべてアクセス可能になります。クリップボードの乗っ取りは、すでに数億ドル規模の暗号盗難に関連付けられており、RATが稼働していれば非常に簡単です。

セキュリティ追跡データによると、2026年1月のフィッシング被害額は3億ドルを超え、同期間のプロトコルハッキング被害額を大きく上回っています。Cofenseが記録した攻撃手法は、その流れに直接つながっています。WebDAVを介して金融チームの社員のマシンにRATを仕込むことは、単なる企業ITの問題ではなく、ウォレットの資金流出や鍵の盗難に直結します。

あなたも注目: 脅威の増加に伴い、2026年の暗号ウォレットのセキュリティが最優先事項に

組織が今すぐ取るべき対策

Cofenseのレポートは、特にCloudflare Tunnelのデモインスタンスへのネットワークトラフィックを監視することを推奨しています。EDRツールの行動分析機能を使い、リモートサーバーにアクセスするURLや.LNKファイルを検出すべきです。より根本的な対策は、ユーザー教育です。ほとんどの人は、ファイルエクスプローラーのアドレスバーがブラウザのように機能していることを知らないのです。

疑わしいURLを確認するのと同じ方法でアドレスバーを確認することが第一の防御ラインです。FTPやSMBを通じた類似の悪用も可能です。これらのプロトコルは企業内で広く使われており、外部サーバーにアクセスできます。Cofenseが記録している攻撃対象はWebDAVだけにとどまりません。

関連情報: 2025年のハッキングとセキュリティインシデント:暗号の弱点を露呈した一年

詳細な技術解説やIOC表、特定のアクティブ脅威レポートに関連付けられたCloudflare Tunnelドメイン例は、cofense.comで公開されているCofense Intelligenceレポートに掲載されています。

原文表示
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。
コメント
0/400
コメントなし