.jpg)
本記事はSOCアナリストの野村和也、小池倫太郎が執筆したものです。
はじめに
SOCでは常に最新の脅威に対抗するため、標的型・ばらまき型問わず様々なリサーチ活動を行っています。リサーチ活動によって得られた情報や知見は、SOCでの検知ロジックに反映するなど、お客様への注意喚起などで活用されています。また、自組織やお客様環境のみならず世界的にサイバー空間の安全を守るため、社外のリサーチャーと情報交換を行っており、その一環としてブログ記事の執筆や国際カンファレンスでの登壇発表を行っています。
今回は2026年6月に開催されたTROOPERS 2026について、私たちの発表内容と、カンファレンスの様子について紹介します。
TROOPERS 2026
TROOPERSは、ドイツのセキュリティ企業ERNWによって主催されているカンファレンスです。毎年ドイツのハイデルベルクで開催され、今回で17回目です。弊社は今回が初めての登壇発表でした。具体的な講演概要は公式サイトで公開されていますので、ご参照ください。

発表内容
今回の発表では「VShell」というマルウェアについてリサーチした内容を紹介しました。
VShellは中国語圏で開発され、一時期はオンライン上で公開されていたマルウェアです。現在でもUNC5174など、様々な攻撃者によって使用されています。
私たちはVShellの攻撃者側で使用される実行ファイル(C2サーバ及びビルダー)を入手し、様々な検証と解析を行いました。また、その成果を踏まえてマルウェアの収集と解析を自動化するシステムを開発し、日に500検体以上の解析を3か月間以上に渡って行いました。
その結果得られたVShellの動作や、観測の結果判明したVShellを用いたマルウェアによる攻撃の特徴について、知見を共有しました。観測結果から、攻撃者は比較的長い期間、マルウェアとサーバの通信に必要な「vkey」というキーやポートをローテーションしながら、同じアドレスのサーバを使いまわしていることがわかりました。
さらに、攻撃者の設定ミスによって攻撃の様子が垣間見えるケースも存在し、ある攻撃者のケースでは二年間にわたって同じサーバを使用しながら、使用しているマルウェアを変遷させていたことも追跡ができました。
これらの結果から、VShell使用している攻撃者に対する対策として、IPアドレスのブラックリストなどIOCをベースとした監視が比較的有効であると考えられます。


カンファレンスの様子
TROOPERS 2026は、ドイツのハイデルベルクにあるhalle02で開催されました。会場はハイデルベルク中央駅から徒歩3分ほどとアクセスが良く、運営によって手配されたホテルからも近い位置にありました。
講演は3トラックに分かれており、量子コンピュータによる暗号アルゴリズムの危殆化の話題や、子供向けスマートウォッチの暗号化の話題など、多様な話題について発表が行われ、質疑応答も活発でした。
私たちの講演は60分の枠で長丁場の発表でしたが、質疑の時間後も、複数名の聴講者と質疑応答のやり取りがあり、興味を持っていただけた印象でした。

ハイデルベルクはフランクフルトから100km弱程離れた町であり、ICEという特急列車に乗れば一時間ほどで行き来できます。ハイデルベルクにはルプレヒト・カール大学やハイデルベルク城など、歴史のある建造物がいくつもあります。これらの施設がある旧市街は中央駅から数kmほど離れており、昔ながらの景観を残した活気にあふれるヨーロッパの街という印象でした。

おわりに
今回はTOOPERS26での登壇発表について紹介しました。講演だけでなく、海外のリサーチャーとも有意義な議論ができ、非常に充実した内容でした。今後もこうしたリサーチ活動を積極的に発信し、サイバー空間の安全に寄与していきたいと思います。

