ゲーム向け非公式ツールに潜む罠、JavaベースRATが広範に拡散か

海外メディアThe Hacker Newsは、改ざんされたゲーム関連ツールを通じて、Javaベースの遠隔操作型マルウェア（RAT）が拡散していると報じています。Microsoftの脅威インテリジェンスチーム（Microsoft Threat Intelligence）の報告によると、攻撃者はブラウザやチャットプラットフォームを悪用し、正規ツールを装った不正プログラムを実行させる手口を強めています。
The Hacker News：Trojanized Gaming Tools Spread Java-Based RAT via Browser and Chat Platforms

この記事のポイント

影響のあるシステム

• 非公式のゲーム関連ツール（補助ツールや改変ツールなど）を実行したWindows環境
• Java未導入の端末も対象： 攻撃者がポータブルなJava実行環境を同梱して展開するため、JREの有無を問わず動作します。

確認された攻撃手法（LoLBinsの悪用）

• Microsoft Defenderの無効化： 自身のコンポーネントを検知除外（Exclusions）に自動追加し、発覚を免れます。
• PowerShellや正規のWindowsバイナリ（cmstp.exe等）を悪用したステルス実行。

推奨される対策

• 除外設定の点検： Microsoft Defenderの除外リストに身に覚えのないパスやファイルが登録されていないか確認する。
• 不審なタスクの削除： スケジュールされたタスクや、スタートアップスクリプト（例：world.vbs）を調査する。
• 認証情報のリセット： 感染の疑いがあるホストで活動していた全ユーザーのパスワードおよびセッションをリセットする。

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

巧妙化する感染フロー：Java未導入環境も標的に

今回の攻撃の極めて巧妙な点は、標的のPCにJavaがインストールされていなくても動作する点です。攻撃者は「ポータブルJava実行環境」をダウンローダーに同梱しており、実行時にこれを展開して不正なJARファイル（jd-gui.jarなど）を起動させます。

また、攻撃者はWindows標準の正規ツール（LoLBins）を悪用することで、セキュリティ製品の監視をすり抜けます。侵入後は、スタートアップスクリプト（world.vbs）やスケジュールされたタスクによって永続性を確保し、外部のC2サーバー（79.110.49[.]15など）と通信を開始します。

多機能化する脅威：Steaelite RATの台頭

さらに警戒すべきは、単なる遠隔操作に留まらない「多機能型マルウェア」の登場です。最近報告された「Steaelite」と呼ばれるRATは、Windows 10/11に対応し、一つのダッシュボードからファイル窃取、画面のライブ配信、マイク・カメラへのアクセス、さらにはランサムウェアの展開まで行える「二重脅迫」の機能を備えています。

これらのツールは、攻撃者がブラウザベースの管理パネルから感染端末を自由自在に操れるように設計されており、個人のプライバシー侵害だけでなく、企業情報の組織的な窃取にも容易に転用可能です。

国内組織が直ちに確認すべき点

日本国内の企業においても、業務端末での「ゲームツールの私的利用」が深刻な侵害の入り口になるリスクを再認識する必要があります。以下の点を確認してください。

1. セキュリティソフトの設定確認： 管理者権限でMicrosoft Defenderの除外設定が書き換えられていないか、一斉点検を実施してください。
2. Javaプロセスの監視： 普段Javaを利用しない部門の端末で、Javaに関連するプロセスが外部通信を行っていないかログを精査してください。
3. シャドーITの禁止徹底： 非公式な実行ファイルや、チャットツール（Discord等）経由で配布される「便利ツール」の危険性について、全社的な注意喚起を行ってください。

技術的な対策（EDRの導入等）に加え、利用者のリテラシー向上が、こうした「トロイの木馬型」攻撃を防ぐ最後の砦となります。

参考文献・記事一覧

• The Hacker News
• Microsoft Threat Intelligence (X Post)
• BlackFog Steaelite Research