.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Sophos Endpoint は、手動でのチューニングを一切必要とせず、デフォルト設定のままエクスプロイト、ランサムウェア、および攻撃手法を自動的にブロックするようにゼロから設計されています。
今回の事例では、Sophos Endpoint に搭載された独自のエクスプロイト対策機能が、AppWork GmbH が提供する無料の Java ベースのダウンロードマネージャー「JDownloader」を介したサプライチェーン攻撃をどのように阻止したかをご紹介します。JDownloader は、ファイル共有サービスや動画サイトからの一括ダウンロードを自動化するツールです。
攻撃の経緯
今回の攻撃は水飲み場型攻撃でした。2026 年 5 月 6 日から 5 月 7 日にかけて、攻撃者は JDownloader の公式 Web サイトを乗っ取り、代替ダウンロードページにある Windows 用インストーラーを、署名のないマルウェアが仕込まれたバイナリへとすり替えました。
トロイの木馬化されたバイナリには、悪意のあるコードとともに本物の JDownloader がバンドルされていたため、アプリケーションは通常通りインストールされて実行されました。目立った兆候が一切なかったため、被害者は侵害に気付くことができませんでした。被害者からの報告によると、このペイロードは実行プロセスの一環として Microsoft Defender を無効化しています。
すり替えられたことは 1 日以上検知されませんでしたが、Reddit ユーザーが SmartScreen の警告に気付き、JDownloader の開発者が侵害を確認してサイトをオフラインにしました。その時点まで、すべてのダウンロードにはマルウェアが隠されていました。
根本原因は何だったのか?それは、攻撃者が認証なしでサイトのアクセス制御リストを編集できてしまう、JDownloader のサイトの未修正の脆弱性でした。侵入に成功した攻撃者は、ダウンロードリンクを悪意のあるファイルへと書き換えたのです。
実戦で証明された Sophos Endpoint の防御力
サプライチェーン攻撃において課題となるのは、攻撃者がエンドポイントに到達するかどうかではなく、アプリケーションごとのチューニングや除外リストを必要とせず、セキュリティ専門家を待機させることもなく、防御側がこれまで見たことのない攻撃手法を阻止できるかどうかです。
今回の攻撃において、Sophos Endpoint は導入初日から自動的に展開される 60 以上のエクスプロイト緩和機能の 1 つである Kernel32Trap を通じて、トロイの木馬化されたインストーラーをブロックしました。クラウドルックアップも、シグネチャも、AI 推論も、あるいはこの攻撃キャンペーンに関する事前知識も一切必要ありませんでした。
攻撃手口を逆手に取る独自のアプローチ
Kernel32Trap が対象とするのは、MITRE ATT&CK T1027.007 (動的 API 解決) です。これは、多くのシェルコードに見られるほぼ普遍的なパターンであり、ウイルス対策スキャナーに検知されるのを防ぐため、バイナリのインポートテーブルに関数を宣言するのではなく、ペイロードが実行時に必要なシステム関数を自ら特定するという手法です。
MITRE 自体も、この攻撃手法を「システム機能の悪用に基づいているため、予防的な対策では簡単に緩和できない」ものとして分類しています。
ソフォスでは、この手法の根底にある前提を逆転させるというアプローチを採用しています。つまり、攻撃者が、ユーザーが正規のファイルがあると思っている場所にマルウェアを仕込むのと同様に、私たちも、マルウェアが正規のシステムコンポーネントがあると思っているまさにその場所に罠を仕掛けます。マルウェアが「解決」したばかりのものを呼び出そうとした瞬間、攻撃の制御権はソフォスの緩和機能の内部へと移り、そのプロセスは強制終了されます。
これを実現させているのが、Sophos Endpoint 独自の 2 つの設計です。
- Sophos Endpoint は、独自のメカニズムを通じて、極めて早い段階でランタイム保護機能をすべてのプロセスにロードします。つまり、アプリケーションが起動した時点で罠はすでに仕掛けられており、攻撃者の最初の一手は、それを待ち構えていた防御機能によって阻止されます。
- この緩和機能は、マルウェアが実際に悪用されるまさにその瞬間に発動します。つまり、マルウェアが解決済みの API を初めて使用しようとした時点で阻止されます。それより前 (無害なコードに対して誤検知のリスクがある段階) でも、それより後 (ペイロードがすでに実行されている段階) でもありません。強制終了が実行されたとき、マルウェアは攻撃の第 2 段階に必要な Windows 関数のリストを作成している最中でした。
5 月 6 日から 5 月 8 日にかけて、この 1 つの緩和機能がソフォス製品の導入環境全体で 11 台のエンドポイントに対して発動され、JDownloader チームが自社側での侵害復旧を完了するはるか前に、トロイの木馬化された JDownloader インストーラーの実行をすべて阻止しました。
Sophos Endpoint の戦略的な特長
攻撃者は、想定される防御に合わせて回避行動をチューニングしますが、その大前提となっているのはオペレーティングシステムに標準搭載されている保護機能です。攻撃者のテストマトリクスに含まれていない緩和機能こそが障壁となり、防御側の勝利につながります。
Sophos Endpoint の確固たる強みとなっているのは、60 以上のエクスプロイト対策機能のほとんどが、互換性を損なうことなく、また環境ごとのチューニングを必要とせずに、実行中のすべてのアプリケーションにデフォルトで適用されるという点です。Kernel32Trap は新しい機能ではありません。実際、この機能は 10 年間目立たない形でその役割を果たしてきました。コードパスは変わらず、チューニングも不要で、一般的なデフォルトの防御を迂回するように設計された攻撃に対しても、同等の強力な保護を提供し続けています。
同様の対策技術を謳う競合製品の多くは、その適用範囲を「機密性の高い既知のプロセス」の許可リストに限定しているため、どのようなプロセス名でも実行できてしまうトロイの木馬化されたインストーラーに対しては効果がありません。
これこそが、攻撃手法に焦点を当てた、現場で効果を発揮する多層防御の姿です。2016 年からソフォスが提供している汎用的な 1 つの緩和機能が、MITRE 自体が「防御不可能」と判定するほどの回避手法を封じ込め、わずか 2 日間のうちに 11 社のお客様をインシデント発生手前で救ったのです。
1 つのストーリー、さらに多くの事例
この事例は、攻撃者が頻繁に用いる手法の一例にすぎません。
2026 年 4 月の CPU-Z のインシデントでも同様のパターンが確認されています。このインシデントでは、cpuid.com が侵害され、CPU-Z および HWMonitor のダウンロード URL が、DLL サイドローディングを使用する悪意のあるインストーラーへのリンクに置き換えられていました。
Sophos Endpoint は、事前情報なしでこのキャンペーンも阻止しました。このときは、Dynamic Shellcode Protection (同じランタイム保護レイヤーにあるもう1 つのソフォス固有の緩和機能) を介して実行されました。
Sophos Endpoint でサプライチェーン攻撃に対する防御を強化
Sophos Endpoint は、人間や AI による攻撃に対して比類のない防御力を提供します。詳細や無料トライアルについては、sophos.com/endpoint をご覧ください。