ファイルレスの新型バックドア「Mistic」にシマンテックが警告、ファイルスキャンでの検出は困難

保険、教育、IT、専門サービスなどの企業ネットワークを標的に、検出を巧妙に回避する新種のWindowsバックドア「Mistic」が潜伏していることが明らかになった。このマルウェアはファイルレスで動作し、自己消去機能を備えているため、従来のファイルスキャンによるセキュリティ対策では検知できない。企業のセキュリティ担当者は、メモリ監視や振る舞い検知を中心とした新たな防御策を講じる必要がある。

■検出不可能な脅威：メモリ上だけで動作する「Mistic」

BroadcomのSymantec（シマンテック）およびCarbon Blackの脅威ハンターチームは2026年6月24日、これまで未確認だったWindows向けのバックドアマルウェア「Mistic（ミスティック）」に関する調査結果を公開した。このマルウェアは、保険、教育、IT、専門サービスなどの企業ネットワーク内で密かに実行されており、従来の端末保護（エンドポイントセキュリティ）ソフトウェアではほぼ検出できない状態にあるという。

調査によると、Misticの開発に関与しているのは、金銭目的で活動する初期アクセスブローカー（IAB）の「KongTuke（コングツケ）」とみられている。KongTukeは、世界で最も活発な6つのランサムウェアグループ（Qilin、Interlock、Rhysida、Akira、8Base、Black Basta）に企業ネットワークへのアクセス権を提供している組織だ。

Misticの最大の特徴は、ディスクに一切ファイルを書き込まず、プロセスメモリ上だけで完全に動作する「ファイルレス」設計にある。さらに、攻撃者からのコマンドによって自身を完全に消去するキルスイッチを内蔵している。これにより、インシデント調査が始まる前にすべてのフォレンジック証拠を消し去ることが可能となり、ストレージ上のファイルをスキャンする従来のセキュリティツールでは検出する手がかりすら得られない状況を作り出している。

■初期アクセスブローカー「KongTuke」のビジネスモデル

今回の脅威を理解する上で、KongTukeの役割を知ることが重要だ。彼らは自らランサムウェアを実行するグループではなく、企業ネットワークに侵入して持続的なリモートコントロール権を確立し、そのアクセス権をアンダーグラウンドのフォーラムでランサムウェアの実行犯（アフィリエイト）に売却する「アクセスブローカー」として活動している。

KongTukeは少なくとも2024年5月から活動しており、「404 TDS」「Chaya_002」「LandUpdate808」「TAG-124」「Woodgnat」などの複数の名前で追跡されている。彼らの標的選定は「日和見的」であり、Active Directoryへのアクセスや横展開（ラテラルムーブメント）が可能なWindowsマシンを備えた組織であれば、規模や業界を問わず標的となる。

彼らが提供したアクセス権は、甚大な被害をもたらしている。Symantecは、KongTukeが過去に使用したツールと「Qilin」ランサムウェアの展開との関連性を指摘している。Qilinは2026年だけで500件以上の被害を出しており、2026年2月にはロンドンの国民保健サービス（NHS）の主要プロバイダーを攻撃し、患者への実害や手術の遅延などを引き起こしたと報じられている。

なお、セキュリティ企業のZscaler ThreatLabzも2026年6月にこのマルウェアを「MLTBackdoor」の名で報告している。同社の技術分析によると、このバックドアのコードの約95%は、自動解析ツールを混乱させるためだけに挿入された無意味な数学的演算（ジャンクコード）で構成されており、本質的な悪意あるロジックはそのノイズの中に巧妙に隠されているという。

■Windowsのセキュリティを回避する手口：DLLサイドローディングとDefenderへの偽装

Misticは、Windowsアプリケーションがサポートコード（DLL：ダイナミックリンクライブラリ）を検索する仕組みを悪用する「DLLサイドローディング」という手法を用いて標的に侵入する。

Symantecが調査した事例では、Windowsの標準セキュリティ機能であるMicrosoft Defenderの正規ファイル「MpExtMs.exe」の起動を契機に感染が始まっていた。攻撃者は「version.dll」というローダーを介してWindowsのシステム関数を傍受し、正規のプロセスに見せかけながら、Microsoftのエンドポイントデータ損失防止（DLP）ツールに関連する名前を模した悪意あるDLL「EndpointDlp.dll」を強制的に読み込ませていた。

この結果、Windowsのプロセス一覧には、デジタル署名された正規のMicrosoftセキュリティコンポーネントとして表示される。プロセスの署名を検証するセキュリティツールは、攻撃者の意図通りに「安全なプロセス」としてこれをスルーしてしまう。

メモリ上にロードされたMisticは、ファイルのアップロードやダウンロード、削除、名前変更、フォルダ作成、リモートコード実行といった標準的な遠隔操作機能をサポートする。また、特定の侵入事例では、ユーザーの資格情報を盗み出すために、Windowsの偽のログイン画面を表示する別の.NET DLLが同時に展開されていたことも確認されている。

■検知を困難にする高度な回避技術

Zscalerの技術分析によると、Misticの回避技術は極めて高度であり、以下のような複数のレイヤーで構成されている。

第一に、通信の偽装だ。攻撃者のサーバーとの通信には、標準的な暗号化ウェブトラフィックであるポート443（TLS）を使用し、ユーザーエージェントにはWindowsの正規のアップデート通信を模した「Microsoft-Delivery-Optimization/10.1」を設定している。ネットワーク監視ツールからは、通常のWindowsシステムがアップデートを確認しているようにしか見えない。

第二に、強力な暗号化だ。通信の暗号化には、NIST P-256曲線を用いた楕円曲線ディフィー・ヘルマン（ECDH）鍵交換とAES-256-GCMを採用しており、セッションごとに新しい鍵ペアが生成されるため、秘密鍵なしでのネットワークレベルの復号は不可能だ。

第三に、DGA（ドメイン生成アルゴリズム）の採用だ。ハードコードされた接続先ドメインが差し押さえられた場合に備え、日付をシード値として毎日新しいドメイン名を計算して通信先を切り替えている。これにより、前日のブラックリストは翌日には役に立たなくなる。

第四に、EDR（エンドポイント検出・対処）製品の監視を回避する「Hell's Gate（ヘルズ・ゲート）」技術だ。WindowsのAPI呼び出しを監視するEDRのフックを避けるため、起動時に「ntdll.dll」からシステムコール番号を直接読み込み、監視レイヤーを完全にバイパスしてカーネルシステムコールを直接実行する。Zscalerは、Misticがこの方法で31個のカーネルシステムコールターゲットの実行テーブルを構築していることを確認した。

第五に、徹底した解析妨害だ。仮想マシンやサンドボックス環境（VMware、VirtualBox、Xen、KVMなど）の検出、CPUタイミングによるエミュレーションの検知、デバッガや解析ツール（x64dbg、Wireshark、IDA Proなど）のプロセス監視など、10項目に及ぶチェックを実行する。

最後に、BOF（Beacon Object File）ローダーの搭載だ。メモリ上で直接実行可能な小さなプログラムであるBOFを実行でき、さらに19個の追加ラッパーを介してファイルシステムやレジストリの操作をHell's Gate経由で実行するため、侵入後の活動中もEDRに検知されるリスクを最小限に抑えている。

■巧妙化する初期侵入の手口：「ClickFix」から「Teams」偽装まで

Misticがその高度な技術を発揮するためには、まず組織内のユーザーを騙して最初の侵入口を作る必要がある。KongTukeは、巧妙なソーシャルエンジニアリング手法を用いてこれを実現している。

彼らは改ざんされたWordPressサイトを利用したトラフィック配信システムを構築している。初期の手法である「ClickFix」では、ブラウザのエラーやCAPTCHA画面を偽装し、問題を解決するためにPowerShellコマンドをWindowsの「ファイル名を指定して実行」ダイアログに貼り付けて実行するようユーザーに促していた。

2026年1月にセキュリティ企業Huntressが発見した「CrashFix」と呼ばれる亜種では、正規の広告ブロック拡張機能「uBlock Origin Lite」を模した悪意ある拡張機能を用いてユーザーのブラウザを意図的にクラッシュさせ、復旧のためと称してコマンドを実行させる。Huntressの調査によると、CrashFixはActive Directoryへのアクセスが可能な企業環境（ドメイン参加PC）を優先的に標的にし、Pythonベースのトロイの木馬「ModeloRAT」を感染させていた。

さらに2026年4月以降、KongTukeはMicrosoft Teamsを悪用したより直接的なアプローチを開始した。外部のTeamsチャットからITヘルプデスクのサポートスタッフを装って従業員に連絡し、コマンドの貼り付けと実行を指示する。複数のセキュリティ企業がこの手口を確認しており、攻撃者は検知を避けるために複数のMicrosoft 365テナントを切り替えながら、数分のうちに持続的なアクセス権を確立している。

Symantecが調査した事例では、初期の足場としてModeloRATが展開された後、さらに深い侵入のためにMisticが展開されていた。ModeloRATからMistic、そして最終的なQilinランサムウェアの展開へと至る攻撃チェーンが直接観測されている。

■セキュリティチームが今すぐ取り組むべき対策

Misticのようなファイルレスかつ自己消去型のマルウェアの登場は、従来の「境界防御で防ぎ、侵入されたらファイルスキャンで検知する」という2段階の防御モデルが通用しなくなっていることを示している。

KongTukeに対する法執行機関によるテイクダウンなどの制約は、現時点では行われておらず、彼らは完全に活動を継続している。セキュリティチームは、以下の対策を直ちに実施する必要がある。

1. メモリベースの検知強化：ファイルシステムのスキャンだけでなく、プロセスメモリをスキャンできるEDRツールを導入する。特に、正規の「MpExtMs.exe」が予期しないディレクトリから「EndpointDlp.dll」や「version.dll」をロードしていないか監視する。

2. ネットワーク監視の調整：Microsoft-Delivery-Optimizationのユーザーエージェントを使用し、ポート443で非MicrosoftのIPアドレスやドメインと通信している不審なプロセスを特定する。DGAによりドメインは毎日変化するため、接続先アドレスではなく振る舞いに基づく検知が必要だ。

3. 侵入プロセスの監視：ブラウザプロセスから起動されたPowerShellコマンドや、Windowsの実行ダイアログから開始されたcurlによるダウンロード、不審なディレクトリ内のポータブルPython環境の存在など、ClickFixやCrashFixの攻撃チェーンに特徴的な挙動を監視する。

4. Teams経由の攻撃対策：業務上許容される場合は、未検証の外部テナントからのMicrosoft Teamsメッセージをブロックする。また、Teamsを介した偽のITヘルプデスク詐欺に関するユーザー教育を徹底する。

■注目ポイントQ&A

●初期アクセスブローカーとは何ですか？なぜKongTukeは特に危険なのですか？

初期アクセスブローカー（IAB）は、企業ネットワークへの侵入と持続的なアクセス権の確立を専門とし、そのアクセス権をランサムウェアグループなどの他の犯罪者に売却するサイバー犯罪組織です。KongTukeは、QilinやAkiraなど、現在最も活発な6つのランサムウェアグループにアクセスを提供しているため、彼らに侵入されることは重大なランサムウェア被害に直結する極めて危険な状態を意味します。

●「ClickFix」や「CrashFix」などの攻撃から組織を守るにはどうすればよいですか？

これらは、ブラウザのエラーやクラッシュを偽装し、ユーザー自身に悪意あるコマンドを実行させるソーシャルエンジニアリング手法です。対策としては、こうした「貼り付けて実行（paste-and-run）」を促す手口に関する従業員への注意喚起、外部テナントからのMicrosoft Teamsメッセージの制限、ブラウザや実行ダイアログから起動するPowerShellプロセスの監視などが有効です。

●なぜ従来のセキュリティソフトでMisticのようなファイルレスマルウェアを検出できないのですか？

従来のセキュリティソフトは主にストレージ上のファイルをスキャンしますが、Misticはディスクにファイルを書き込まず、メモリ上だけで動作するためです。また、セキュリティツールの監視を回避する「Hell's Gate」技術を使用しているほか、自己消去機能を備えているため、調査が始まる前に証拠を消し去ることができます。防衛には、メモリの直接スキャンや振る舞い監視が可能なEDR製品が必要です。

●アクセスブローカーが独自のメモリ内マルウェアを開発することにはどのような意味がありますか？

従来、ランサムウェア関連の侵入ではWindowsの正規ツールを悪用する「環境寄生型（Living off the Land）」が主流でしたが、独自の高度なカスタムツールを開発するシフトが進んでいます。これにより、既知のパターン（シグネチャ）に頼る対策は通用しなくなり、検知されることなく長期間ネットワーク内に潜伏されるリスクが大幅に高まります。

元記事: Fileless Ransomware Backdoor Mistic Erases Itself: Symantec Warns File Scans Will Miss It