ハッカーを支援するマルウェアの“検出回避”サービスを摘発-オランダ・米国|セキュリティニュース

投稿日時: 2025年06月04日更新日時: 2025年06月03日

2025年5月下旬、オランダ国家警察のハイテク犯罪チーム（Team High Tech Crime）と米連邦捜査局（FBI）、フィンランド警察による共同捜査により、サイバー犯罪者向けに悪用されていたサービス「AVCheck」が摘発・停止されました。

「AVCheck」は、CAV（Counter Antivirus）サービスと呼ばれるカテゴリに属し、マルウェア開発者が自作のマルウェアがセキュリティソフトに検出されるかどうかを事前にテストできるというもので、マルウェアの“品質保証”に近い役割を果たしていました。

マルウェア開発者にとって不可欠な“裏方サービス”

通常、マルウェア開発者はアンチウイルスソフトやEDRなどのセキュリティ製品に検知されないよう、攻撃コードを暗号化（クリプティング）し、複数のセキュリティソフトで検出テストを行った上で攻撃に使用します。

AVCheckはそのテスト部分を支援するサービスであり、検出を回避したマルウェアがそのまま企業ネットワークや政府機関への攻撃に使われていたとみられています。

摘発にあたっては、運営中の「AVCheck」のほか、関連するドメイン4件およびサーバが米テキサス州南部地区地方裁判所の令状により差し押さえられました。また、関連ツールとして確認されていた「Cryptor.biz」や「Crypt.guru」といった暗号化サービスにも捜査が及んでいます。

米司法省の発表によれば、当局は囮購入による潜入調査を実施し、同サービスがサイバー犯罪目的で設計されていたことを確認。さらにサービスに登録されたメールアドレスや支払い情報などから、複数の既知のランサムウェアグループとの関係性も判明しています。

今回の摘発は、より大規模な国際作戦「Operation Endgame」の一環として実施されたもので、欧州、米国、ウクライナ、ポルトガルなどが連携し、サイバー犯罪のサプライチェーンを断ち切ることを目的としています。

オランダ警察は、AVCheckの停止に加え、偽のログインページを公開するなどして利用者に警告を発信し、再犯を防止するための“心理的介入”も行いました。ウイルス対策ベンダーとも連携を強化し、CAV技術の悪用を未然に防ぐ体制構築が進められています。

「マルウェアそのものを摘発するだけでなく、その開発や配信を裏で支えるインフラを断つことが重要です」と語るのは、オランダの捜査責任者マティアス・ヤスパース氏。

今回のような“間接的な摘発”は、サイバー攻撃の初期段階である「感染準備フェーズ」を未然に防ぐことにつながり、被害拡大の抑止に非常に効果的とされています。

今後も国際的な官民連携が進められ、サイバー犯罪の土台を支える“見えない裏方”に対しても、容赦ない介入が進められるとみられます。