2026年4月16日、脅威インテリジェンス機関のBreakglass Intelligenceは、中国系APTグループ「Silver Fox」が日本語の楽天(Rakuten)請求書を偽装したフィッシングキャンペーンを通じて、日本のユーザーを標的にマルウェア「ValleyRAT(Winos 4.0)」を配布していることを確認したと報告しました。
この攻撃の特徴は、Dell(Waves Audio)の正規の署名付き実行ファイルを使ってマルウェアを実行する「DLLサイドローディング」という巧妙な回避技術の利用にあります。攻撃者はC2(コマンド&コントロール)サーバーをHong Kongに置き、日本語ターゲットに特化したフィッシングコンテンツを使用しており、Breakglass Intelligenceはこの攻撃をSilver Fox APTによるものと帰属確信度95%(HIGH)で断定しています。
▶ 関連記事:2026年 サイバー攻撃・情報漏洩の最新事例まとめ
目次
Silver Fox APTとは——日本標的を拡大する中国系脅威アクター
Silver Foxは中国系のAPT(Advanced Persistent Threat)グループで、各セキュリティベンダーにより以下の名称でも追跡されています。
| ベンダー | 呼称 |
|---|---|
| 一般名称 | Silver Fox |
| Trend Micro | Void Arachne |
| Palo Alto Unit 42 | CL-STA-0048 |
| 中国セキュリティ業界 | UTG-Q-1000 |
| Malpedia | win.valley_rat |
出典:Breakglass Intelligence(2026年4月17日)
Silver Foxはこれまで主に中国語圏のユーザーを標的とし、偽ソフトウェアインストーラーやSEOポイズニングによる感染を得意としていましたが、2025年12月以降、日本・マレーシア・東南アジアへの標的を急速に拡大していることが複数のセキュリティベンダーにより確認されています。今回のキャンペーンはその継続と位置づけられます。
なお、Breakglass Intelligenceでは楽天カードや楽天市場、楽天ペイなどのサービス名に言及されておらず、あくまで楽天の請求書とのみされています。
攻撃の全体像:感染チェーン
Breakglass Intelligenceが再構成した今回の攻撃の感染経路は以下の通りです。
| ステップ | 内容 |
|---|---|
| ① フィッシング誘導 | 日本語の楽天請求書に見せかけたメール。メール内には正規の rakuten.co.jp のリンクを混在させつつ、悪意あるダウンロードリンクに誘導 |
| ② ZIPファイル配布 | リンク先(missallanahstarr[.]com)から「Electronic12862330415.zip」を取得させる |
| ③ 実行 | ZIPを展開すると、Dell/Waves Audioの正規署名付き実行ファイル「MaxxAudioControl64.exe」が含まれている。ユーザーがこれを実行 |
| ④ DLLサイドローディング | MaxxAudioControl64.exe が同ディレクトリの「MaxxAudioAPOShell64.dll」(悪意あるDLL)を自動読み込み→暗号化されたペイロードをメモリ内で展開 |
| ⑤ C2通信開始 | 137[.]220[.]153[.]175:886(Hong Kong)に対してカスタムバイナリプロトコルでビーコン通信を開始。攻撃者の遠隔操作下に置かれる |
注目すべきは、正規の署名付きDellソフトウェアを経由してマルウェアが実行されるため、署名チェックだけに頼った従来のセキュリティ対策では検出が困難という点です。
DLLサイドローディングの仕組み——なぜ正規ソフトで感染するのか
今回の攻撃の核心技術は「DLLサイドローディング(T1574.002)」です。この手法はWindowsのDLL検索順序(DLL Search Order)の仕様を悪用します。
VerSprite(VS-Labs)の研究によれば、Dell/Waves AudioのMaxxAudioControl64.exeは起動時に同じディレクトリのMaxxAudioAPOShell64.dllを読み込みます。
この際、ExternalModuleというレジストリキーを参照してLoadLibraryAを呼び出すため、攻撃者が悪意あるDLLを同じ名前で同ディレクトリに配置するだけで、正規プログラムが悪意あるコードを実行してしまいます。
Silver Foxはこれまでも複数の正規バイナリをサイドローディングに利用しており、今回のMaxxAudioのほか、SodaMusicLauncher.exe(ByteDance)、WavesSvc64.exe、edr09.exe等の実績があります。
ValleyRAT(Winos 4.0)の特徴
ValleyRATはGh0st RATを基盤とするC++製のプラグイン型RAT(Remote Access Trojan)です。公開されている研究から判明している主な機能は以下の通りです。
| 機能カテゴリ | 詳細 |
|---|---|
| 暗号化・難読化 | AES-256とXORエンコーディングでコンフィグ・通信を暗号化 |
| C2通信 | HTTPSではなくカスタムバイナリプロトコル(TCP)を使用。今回はポート886 |
| 永続化 | スケジュールタスク・レジストリRUNキー・DLL検索順序ハイジャック |
| 回避 | スリープ難読化(メモリ保護サイクル)、VM/サンドボックス検出、AVプロセス終了 |
| アンチ解析 | %TEMPにファイルが30件未満の場合に動作停止、VMware/VirtualBoxサービスの列挙 |
| コンフィグ保存先 | レジストリキー(HKCU\Software\Console\ 等) |
今回のキャンペーンのコンフィグには、中国語で「デフォルト備考(默认备注)」「デフォルトグループ(默认分组)」という未変更の初期設定文字列が含まれており、このRAT管理パネルが中国語圏で開発・流通していることを裏付けています。
インフラ・フィッシングルアーの詳細
偽装ドメインのWHOIS情報に現れる「矛盾」
配信ドメイン「missallanahstarr[.]com」のWHOIS情報には、攻撃者の粗雑さを示す重大な矛盾があります。
登録者住所が「Kyoto, Saitama, JP」と記載されており、京都(Kyoto)と埼玉(Saitama)という異なる都道府県を組み合わせた架空の住所であることが一目瞭然です。また登録メールアドレスに使用された「163.com」は中国の大手メールサービス(NetEase)であり、中国系アクターが登録したことを強く示唆します。
さらに、ドメインは2026年4月15日——キャンペーン開始の前日——に更新されており、攻撃の直前準備の痕跡が明確に残っています。
フィッシングメールの内容
| 項目 | 内容 |
|---|---|
| 言語 | 日本語 |
| 偽装ブランド | 楽天(Rakuten) |
| 請求書番号 | GH-58420391 |
| 請求金額 | 12,000円(税込) |
| 偽装日付 | 2026年4月16日 |
rakuten.co.jp の正規URLをメール内に含めることで、フィッシングフィルタを回避しつつ受信者に楽天からの正規メールだと誤認させています。
侵害の痕跡(IOC)一覧
以下のIOCはBreakglass Intelligenceの調査報告に基づきます。組織のファイアウォール・EDR・DNSフィルタへの即時登録を推奨します。
ネットワーク系IOC
| IOC | 種別 | 用途 |
|---|---|---|
| 137[.]220[.]153[.]175 | IPv4 | C2サーバー(ポート886)、AS4907 BGPNET PTE. LTD.(香港) |
| 103[.]115[.]56[.]66 | IPv4 | マルウェア配布サーバー、AS55933 Cloudie Limited(香港) |
| missallanahstarr[.]com | ドメイン | ZIPファイル配布 |
| a8.share-dns.com | ネームサーバー | 配布ドメインのNS |
| b8.share-dns.net | ネームサーバー | 配布ドメインのNS |
ファイル系IOC
| ファイル名 | SHA-256 |
|---|---|
| Electronic12862330415.zip | f0fc5a9aead0bed9f97e4a007bf712aef4ab95e1abaf6150fee7f51602d57347 |
| MaxxAudioControl64.exe(正規バイナリ悪用) | 610d48ae96a2494ebfd760d4ff6647bb95f57fac92f4bc8513329f1337d6c7f2 |
| MaxxAudioAPOShell64.dll(悪意あるDLL) | 17d6415df0d336e255df7689ae90039e48fd6e95d43fbbc34d5b4875ea9af47d |
エンドポイント系IOC
- C:\Users\Public\Documents\94a3c123872341ef93a035e8534a1b8a(ペイロードのステージングディレクトリ)
- MaxxAudioControl64.exe が C:\Program Files\Realtek\Audio\HDA\ 以外のパスから起動
- TCP 886番ポートへのアウトバウンド通信
MITRE ATT&CK マッピング
| タクティクス | テクニック | ID |
|---|---|---|
| 初期アクセス | フィッシング:スピアフィッシングリンク | T1566.002 |
| 実行 | ユーザー実行:悪意あるファイル | T1204.002 |
| 永続化 | DLL検索順序ハイジャック | T1574.001 |
| 防御回避 | DLLサイドローディング | T1574.002 |
| 防御回避 | 正規名称・場所への偽装 | T1036.005 |
| 防御回避 | 署名付きバイナリのプロキシ実行 | T1218 |
| C2 | 非標準ポート(886/tcp) | T1571 |
組織・セキュリティチームが取るべき対策
即時:IOCのブロック
以下のIOCを組織のファイアウォール・DNSフィルタ・Proxyに登録し、通信を遮断します。
- 137[.]220[.]153[.]175(全ポート、特に886/tcp)
- 103[.]115[.]56[.]66
- missallanahstarr[.]com(DNS解決をブロック)
- a8.share-dns.com / b8.share-dns.net(DNSレベルでブロック)
侵害の事後ハンティング
- ネットフロー・Proxyログで
137.220.153.175:886への通信の有無を検索する - EDRテレメトリで
MaxxAudioControl64.exeがC:\Program Files\Realtek\Audio\HDA\以外から実行された記録を検索する - エンドポイントで
C:\Users\Public\Documents\94a3c123872341ef93a035e8534a1b8aディレクトリの存在を確認する - ファイルハッシュをEDRで照合する(特に悪意あるDLL:
17d6415df0d336e255df7689ae90039e48fd6e95d43fbbc34d5b4875ea9af47d)
メールゲートウェイ・フィッシング対策
- 日本語の楽天請求書を偽装したメールのルールを設定する(件名・本文キーワード + 外部ドメインリンクの組み合わせをフラグ)
- 添付ファイルおよびメール内リンクのサンドボックス解析(ZIPを含む)を有効化する
- DMARC・DKIM・SPFの確認を強制する
▶ お役立ち資料:AIによりサイバー攻撃が高度化-最新脅威に対応したセキュリティ教育訓練の自動化(ヤグラ)
エンドポイント・アプリケーション制御
- Application Control(アプリケーション制御)ポリシーで、
C:\Program Files\以外から実行される署名付きバイナリへのアラートを設定する - DLLのサイドローディングに対応したEDR製品の「プロセスインジェクション検出」ルールを有効化する
- PowerShell・WMI・スクリプトエンジンのログを有効化しSIEMに転送する
JPCERT/CCへの報告
Breakglass IntelligenceはJPCERT/CCへの報告を優先度HIGHと判定しています。自組織内でこのキャンペーンの被害を確認した場合は、JPCERT/CCのインシデント報告窓口に報告することを強く推奨します。これにより業界全体での早期警戒が可能になります。
個人ユーザーが取るべき対策
今回の攻撃は楽天という日常的に利用するサービスを騙っており、「日本語の請求書メール」という自然な形で届くため、特に注意が必要です。
メール受信時の確認習慣
- 「支払いが必要」「請求書あり」などのメールはまず楽天の公式アプリ・サイトに自分でログインして確認する。メール内のリンクをクリックしない
- 差出人のメールアドレスが rakuten.co.jp ドメインであっても、本文中のリンク先URLを確認する(正規リンクに見せかけた別ドメインへのリンクが含まれることがある)
- 心当たりのない請求書が届いた場合は楽天カスタマーサポートに直接電話・チャットで問い合わせる
ファイル実行時の注意
- メールから受け取ったZIPファイルを開かない。請求書のはずなのにZIPやEXEが添付されている場合は詐欺の可能性が高い
- ZIPを展開して現れた .exe ファイルは絶対に実行しない
- 正規のDell製ソフトウェアに見えても、メール経由で受け取ったものはインストールしない
OS・セキュリティソフトの設定
- Windows Defenderを常時有効化し、最新の定義ファイルに更新しておく
- Windowsの「ファイルの拡張子を表示する」設定をオンにし、.exeや.dllが隠れていないか確認できるようにする
- メールクライアント(OutlookやThunderbirdなど)の「外部リンクを自動的にプレビューしない」設定を有効にする
よくある質問(FAQ)
Silver Fox APTとはどのような攻撃グループですか?
Silver Foxは中国系のAPT(高度持続的脅威)グループで、Trend MicroはVoid Arachne、Palo Alto Unit 42はCL-STA-0048とも呼びます。ValleyRAT(Winos 4.0)と呼ばれるGh0st RATの派生マルウェアを主要ツールとして使用し、DLLサイドローディングやSEOポイズニングを多用します。2025年12月以降、日本・マレーシア・東南アジアへの標的を拡大していることが複数のベンダーにより報告されています。
ValleyRAT(Winos 4.0)に感染するとどうなりますか?
ValleyRATはC++で実装されたプラグイン型のRAT(遠隔操作ツール)です。感染すると攻撃者がパソコンを遠隔操作できる状態になり、ファイル・キーストローク・スクリーンショットの窃取、さらなるマルウェアのダウンロード実行が可能になります。AES-256暗号化とXOR難読化で通信を隠蔽し、VMやサンドボックス環境の検出機能も持ちます。スケジュールタスクやレジストリRUNキーで永続化されるため、削除が困難です。
DLLサイドローディングとは何ですか?今回の攻撃でどう使われましたか?
DLLサイドローディングとは、正規の署名付き実行ファイルが起動時に読み込むDLLを悪意あるファイルに差し替える攻撃手法です。今回はDell/Waves Audioの正規ソフトウェアMaxxAudioControl64.exeが同じディレクトリのMaxxAudioAPOShell64.dllを自動で読み込む仕組みを悪用。ZIPに正規EXEと悪意あるDLLが一緒に格納されており、ユーザーがEXEを実行すると悪意あるDLLが読み込まれてValleyRATの感染が完了します。
出典・参考資料
一次ソース(本記事の主要情報源)
関連調査・研究
- Silver Fox APT Uses DLL Sideloading and BYOVD Techniques – CyberSecurityNews
- Silver Fox Expands Asia Cyber Campaign with AtlasCross RAT – The Hacker News(2026年3月)
- Silver Fox’s Dual-Pronged Strategy: Dissecting ValleyRAT – Dark Lab HK(2026年3月)
- Silver Fox Expands Winos 4.0 to Japan and Malaysia – Rescana
- Waves MaxxAudio DLL Side-Loading LPE via Windows Registry – VerSprite VS-Labs
- Thor vs. Silver Fox — Uncovering ValleyRAT Campaign – Nextron Systems
- ValleyRAT – Malpedia(Fraunhofer FKIE)
関連記事
イラン系APTが対イラン米軍作戦 Operation Epic Furyに連動し航空・ソフトウェア企業へサイバー攻撃
EDRSilencerがエンドポイントセキュリティを回避する手段に悪用
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける
中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む
ハッカーが日本の富裕層リストを装いゴルフ用品 購入者の個人情報を販売
偽のTeams/Google Meetの偽配布サイトで「Oyster」バックドアが再拡散
VS Codeの拡張機能を悪用する画面キャプチャ型 マルウェア「Bitcoin Black」「Codo AI」
偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング
