偽発注書メールのRAR 添付でフィルレスマルウェア「PureLogs」を配布するサイバー攻撃キャンペーン|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月05日更新日時: 2026年06月05日

2026年5月26日、FortiGuard Labs（Xiaopeng Zhang）は偽の発注書（Purchase Order）メールを起点とするフィッシングキャンペーンを分析し、フィルレス型インフォスティーラー「PureLogs」の新たな亜種の配布手口を詳細に公開しました。

最大のリスクは、攻撃の最終段階で機能するPureLogsがメモリ上にしか存在しない「フィルレス（ファイルレス）」設計であるため、エンドポイントセキュリティのファイルスキャンが実質的に機能しない点です。攻撃は「PO 2026-P0803.rar」というファイル名のRARアーカイブを添付した業務メールを装い、JavaScriptの難読化・PowerShellの暗号化実行・MsBuild.exeへのプロセスホロウィングという多段の回避技術を組み合わせて検出を阻みます。

この手口はFortiGuard Labsが2025年7月に分析したDarkCloudキャンペーンと構造的に類似しており、RAR＋JavaScript＋プロセスホロウィングという攻撃テンプレートが複数のマルウェアファミリーで共有されていることを示しています。現時点でキャンペーンは稼働中とみられます。本記事では6段階の攻撃チェーン・プロセスホロウィングの仕組み・PureLogsの窃取能力・C2通信の詳細・情報システム担当者が取るべき対応を解説します。

サマリー

FortiGuard Labs（著者：Xiaopeng Zhang）が2026年5月26日に公開。発注書を装ったフィッシングメールにRAR添付ファイルを仕込み、フィルレス型PureLogs亜種を配布するキャンペーンを分析
攻撃チェーンは6段階。RAR内の難読化JavaScriptが暗号化PowerShellを展開し、最終的にMsBuild.exeにプロセスホロウィングで注入する設計
プロセスホロウィングにより正規のWindowsプロセス（MsBuild.exe）内でマルウェアが実行されるため、プロセスの署名確認や許可リストをすり抜ける
最終ペイロードのPureLogs亜種はメモリ上にのみ存在するフィルレス設計。.NET ReactorまたはIntelliLockで商業的に難読化されており、リバースエンジニアリングを阻害
標的はGoogle Chrome・Edge・Brave・Opera・Firefox・Yandex・Waterfox・LibreWolfの8ブラウザ、暗号資産ウォレット、Discordトークン等
FortiMailはメールの件名に「virus detected」というフラグを付けて配送をブロック。同種の防御が導入されていない環境では感染リスクがある

1 キャンペーンの概要—偽発注書メールとRARアーカイブで始まる6段階の攻撃
2 攻撃チェーンの詳細—JavaScriptからMsBuild.exeへの6ステップ
3 プロセスホロウィングとフィルレス実行—なぜ従来の検出が機能しないのか
4 PureLogsの窃取能力—8ブラウザ・暗号資産・Discord
5 FAQ
6 参考情報

キャンペーンの概要—偽発注書メールとRARアーカイブで始まる6段階の攻撃

FortiGuard Labs公式レポート（著者：Xiaopeng Zhang、2026年5月26日）によれば、この攻撃は業務上ありふれた発注書（Purchase Order）メールに見せかけたフィッシングメールから始まります。メールには「PO 2026-P0803.rar」というファイル名のRARアーカイブが添付されており、受信者に対して「添付ファイルを開いて発注書の内容を確認してください」と促します。

FortiGuard Labsが解析に使用した環境では、FortiMailがこのメールの件名に「virus detected」というフラグを付与して配送をブロックしました。ただしFortiMailや同等のメールセキュリティが導入されていない組織では、受信者の端末まで届く可能性があります。業務担当者が取引先からの発注書と誤認してRARアーカイブを開いた瞬間から、感染チェーンが始動します。

攻撃チェーンの詳細—JavaScriptからMsBuild.exeへの6ステップ

感染フローは以下の6段階です。

ステップ1：難読化JavaScriptの実行（kpankocrs.js）

RARアーカイブ内には「kpankocrs.js」という難読化されたJavaScriptファイルが含まれています。これを実行するとJavaScriptがPowerShellコードを復号し、「ps_qnSEGUkU0LIY_1777592585573.ps1」のようなランダム名の.ps1ファイルをC:\Tempフォルダに書き込みます。実行コマンドはpowershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File "C:\Temp\[ランダム名].ps1"という形式で、Windowsのスクリプトエンジン（wscript.exe）を介してPowerShellが起動します。ExecutionPolicyをBypassすることで実行ポリシーによる制限を回避します。

ステップ2：PowerShellスクリプトの復号と実行

投下されたPowerShellスクリプトには、暗号化されBase64エンコードされたデータブロックが含まれています。スクリプトはXOR-with-rotationアルゴリズムでこのデータを復号し、Invoke-Expressionを使ってメモリ上でフィルレスなPowerShellコードを直接実行します。ディスク上のファイルとして別途書き込まれることなく実行されるため、ファイルスキャンを回避します。

ステップ3：プロセスホロウィングによるMsBuild.exeへの注入

フィルレスPowerShellコードは「MAFF」という.NETモジュールを使ってプロセスホロウィングを実行します。ターゲットに選ばれた正規プロセスはC:\Windows\Microsoft.NET\Framework\v4.0.30319\MsBuild.exeです。CreateProcessA()でMsBuild.exeを一時停止状態で起動し、ZwUnmapViewOfSection()でプロセスのメモリを空にして、WriteProcessMemory()で悪意あるコードを植え込み、ResumeThread()で実行を再開します。これにより、Microsoftが署名した正規のMsBuild.exeプロセス内でマルウェアが動作するという状態が実現します。

ステップ4：ダウンローダーモジュールの展開（Rmiyj.dll）

MsBuild.exeに注入された「Iwnflr.exe」という.NETモジュールは、内部に埋め込まれたリソース（”Eqxcpvgf.Ybrgdoxas”という名称）からDESアルゴリズムで復号後、GUNZIPで展開して「Rmiyj.dll」というダウンローダーモジュールをメモリ上に構築します。このダウンローダーはReflection.Assembly.Load()を使ってメモリからロードされ、ファイルとしてはディスクに書き込まれません。

ステップ5：C2サーバーへの接続と設定確認

ダウンローダーはリソースから設定ブロックを読み込み、C2サーバーのアドレス（77[.]83[.]39[.]211:8443）とAES暗号化キーを取得します。まずGETリクエストを/pingエンドポイントに送信してC2サーバーが稼働中であることを確認し、続いてPOSTリクエストを/pluginエンドポイントに送信します。POSTボディはランダムIVと”\x42\x00″（プラグインID）をAES暗号化したデータで構成されています。

ステップ6：PureLogsプラグインのダウンロードとフィルレス実行

C2サーバーは対応するプラグインモジュール（zgSGkYYzqVe.dll）をAES暗号化された状態で応答します。ダウンローダーがこれをAES復号後GUNZIPで展開し、メモリ上にPureLogs亜種を展開します。このプラグインはディスク上のファイルとして存在せず、MsBuild.exeプロセスのメモリ内にのみ存在するフィルレス型マルウェアです。

プロセスホロウィングとフィルレス実行—なぜ従来の検出が機能しないのか

今回のサイバー攻撃で特に強調しているのが、MsBuild.exeへのプロセスホロウィングの活用です。

プロセスホロウィングはWindowsの正規プロセスを「空洞化」してマルウェアで置き換える手法です。攻撃者視点での利点は明確で、マルウェアがタスクマネージャーやEDRには「Microsoft.NETが署名したMsBuild.exe」として見えるため、プロセス名ベースの許可リスト（Application Control）やプロセス署名確認をすり抜けます。MsBuild.exeはWindowsの.NET開発ツールであり、多くの組織の標準環境に存在し、多くのセキュリティツールが「信頼できるプロセス」として深いインスペクションを行わず動作を許可します。

フィルレス実行は、Invoke-ExpressionによるPowerShellのメモリ直接実行、Reflection.Assembly.Load()による.NETモジュールのメモリロード、C2からダウンロードしたプラグインのディスク書き込みなしの展開という三重の設計により、「悪意あるファイルがディスクに残らない」状態を実現しています。従来のウイルス対策ソフトがファイルスキャンに依存している場合、これらのコンポーネントはスキャン対象として認識されません。

PureLogsの窃取能力—8ブラウザ・暗号資産・Discord

PureLogsは「PureCoder」というグループが開発した.NETベースのインフォスティーラーです。今回FortiGuard Labsが確認したプラグインモジュールは.NET ReactorまたはIntelliLockという商業難読化ツールで保護されており、コードの静的解析を困難にしています。

FortiGuard Labsの分析と複数の報道によれば、PureLogsモジュールの主要な窃取対象は以下のとおりです。ブラウザデータとしてはGoogle Chrome・Microsoft Edge・Brave・Opera・Yandex Browser・Mozilla Firefox・Waterfox・LibreWolfという8種類が標的で、各ブラウザに保存された認証情報（ID・パスワード）・セッションクッキー・クレジットカード情報・オートフィルデータが収集されます。暗号資産ウォレットも対象で、ウォレットのシークレットキーやリカバリーフレーズが窃取されます。Discordのトークンも対象であり、アカウントの乗っ取りに悪用されます。システム情報として、端末情報やインストールソフトウェアのリストも収集されます。

収集されたデータは圧縮・暗号化された後、C2サーバー（77[.]83[.]39[.]211:8443）に送信されます。なお、このキャンペーンに先行してFortiGuard Labsは2025年7月に「DarkCloud」マルウェアを使用した類似のキャンペーン（RAR＋JavaScript＋PowerShell＋MsBuild.exeプロセスホロウィング）も分析しており、この攻撃テンプレートが複数のマルウェアファミリーに広まっていることが確認されています。情報システム担当者が取るべき対応

メールゲートウェイの設定確認が最優先事項です。今回のキャンペーンではFortiMailがメール件名の「virus detected」フラグにより配送をブロックしました。同等のメールセキュリティソリューションが導入されているか、RARやその他圧縮アーカイブ添付ファイルのフィルタリングルールが有効化されているかを確認してください。業務メールでRARアーカイブを受信する必要性がない場合、拡張子単位でのブロックも有効な選択肢です。

エンドポイントでの振る舞い検知強化も重要です。今回の攻撃はファイルスキャンを回避する設計であるため、プロセス生成の異常（wscript.exeからpowershell.exe、powershell.exeからMsBuild.exeへの非定型な親子関係）を検知する振る舞い検知（NGAV・EDR）が防御の要になります。特にMsBuild.exeがネットワーク接続を行う動作は非常に異常であり、このシグナルをSOCアラートとして設定することを推奨します。

PowerShellの実行ポリシー管理も見直すべきポイントです。スクリプトが-ExecutionPolicy Bypassフラグで制限を回避しているため、エンドポイントのMDMポリシーでPowerShellスクリプトのExecutionPolicyをRemoteSignedまたはAllSignedに設定し、Constraintd Language Modeの導入も検討してください。

C2 IPアドレスのブロックとしては、FortiGuard Labsが公開したC2サーバー77[.]83[.]39[.]211（ポート8443）をファイアウォール・プロキシのブロックリストに追加することを推奨します。

FAQ

Q. 今回の攻撃はどのようなユーザーが標的になりますか？ A. 発注書（Purchase Order）を業務上受け取る可能性のある担当者が特に標的になりやすい設計です。経理・購買・物流・営業などの部署で、外部取引先から書類を受け取ることが日常的なユーザーは特に注意が必要です。FortiGuard Labsは業種や地域の限定を示していないため、幅広い組織が対象になり得ます。

Q. RARファイルを開いただけで感染しますか？ A. RARアーカイブを展開してその中のJavaScriptファイル（kpankocrs.js）を実行した場合に感染チェーンが始動します。RARファイルの展開・閲覧だけでは感染しませんが、Windows Explorerのデフォルト設定では拡張子が非表示になっているため、JSファイルが文書ファイルに見えてダブルクリックしてしまうリスクがあります。

Q. MsBuild.exeがマルウェアに使われているとはどういう意味ですか？削除すべきですか？ A. MsBuild.exeはMicrosoftが署名したWindowsの正規の.NET開発ツールであり、削除することは推奨されません。今回の攻撃はMsBuild.exeを乗っ取る（中身を入れ替える）手法であり、ファイル自体は無害です。対策は「MsBuild.exeが外部ネットワークに接続する動作を検知・ブロックする」という振る舞い検知の設定です。

Q. フィルレスマルウェアはセキュリティ再起動すれば消えますか？ A. 原則として、フィルレスマルウェアはメモリ上にのみ存在するため、システムを再起動するとメモリが初期化されてマルウェアは消滅します。ただし、今回の感染チェーンの初期段階（JavaScriptファイルやPowerShellスクリプト）はディスクに書き込まれるため、それらのファイルを削除しなければ再感染が起きます。また、攻撃者がすでに認証情報を窃取していた場合、再起動後も不正ログインによる被害が継続する可能性があります。

Q. PureLogsは過去にどのような手口で配布されてきましたか？ A. FortiGuard Labsは今回のRAR＋JavaScript手口の他に、2025年にはステガノグラフィー（画像ファイルにマルウェアを隠す技術）を使用した「PawsRunner」経由での配布キャンペーンも分析しています。PureCoder製のPureLogs自体はRaaS（Ransomware-as-a-Service）モデルと類似した形でサイバー犯罪者に販売・提供されており、複数の攻撃者が異なる配布手法を用いて使用しています。