英語版はこちら

背景

Amadey は、2018 年の 10 月頃から観測されている Windows 向けのボット型マルウェアです。感染端末の情報収集、C2 通信、追加ペイロードの取得・実行を担い、情報窃取型マルウェアやランサムウェアの初期侵入基盤として悪用されることが知られています。主な感染経路としてフィッシングメール、海賊版のソフトウェアへのバンドル、エクスプロイト経由で配布されることが報告されています。

2026 年 6 月、弊社のサイバーインテリジェンスグループ (CIG) はマイクロソフトが発表した Amadey / StealC のインフラストラクチャを停止するプロジェクトに参画しました。これにより両マルウェアの活動は大幅に抑制されることが期待できます。本プロジェクトに関する弊社からのプレスリリースはこちらからご覧いただけます。

【サイバーインテリジェンスグループ (CIG) について】 CIG は、三井物産セキュアディレクション (MBSD) でマルウェア解析、ランサムウェアグループの活動実態調査、脅威インテリジェンスの収集・分析を担う専門チームです。独自調査に基づく情報発信のほか、メディアを通じた脅威動向の解説などにも取り組んでいます。

Amadey の活動に一つの区切りがつくと考えられるこの段階において、本ブログでは弊社の CIG チームによる約 6 年半にわたる Amadey の C2 サーバの観測から得られた知見を読者のみなさまに共有いたします。長期間にわたるデータ分析による知見から、Amadey の出現初期から法執行機関による介入を受けるまでの観測データを通じて、一つのマルウェアがどのように影響力を拡大し、そのインフラを通じてマルウェアをばらまいたかを検証します。さらに、C2 サーバの長期にわたる観測結果から見えるエコシステムを把握します。

Amadey マルウェアの仕組み

Amadey の詳細解析に関する記事は多数存在しているため、本ブログではその詳細を扱わない代わりに、Amadey の C2 通信の仕組みについて解説を行います。

2026 年時点で確認できる Amadey の C2 通信は RC4 キーで暗号化したバイナリデータを 16 進数文字列に変換してやりとりする仕組みとなっています。

図 1 は Amadey の C2 サーバのアドレスとチェックインリクエストとレスポンスのデータを抜粋したものです。Amadey は C2 サーバのアドレスに対して Amadey のバージョン情報 (図 1 では 5.77) と感染端末の情報を含むデータを Initial チェックインリクエスト用のパラメータとして用意し、バイナリに埋め込まれている RC4 鍵を用いて暗号化します。暗号化されたバイナリデータを 16 進数文字列に変換し “r=” に連結したデータが Amadey の C2 サーバが受け取る Initial チェックインのデータとなります。C2 サーバは 16 進数文字列のデータをバイナリデータに戻し、RC4 鍵を用いて復号することにより Initial チェックインデータを取得します。その後 C2 サーバの設定に応じて追加ペイロードなどのデータを感染端末に送信します。このデータも RC4 暗号化したデータを 16 進数文字列に変換しています。感染端末がレスポンスデータを受信した後、16 進数文字列のデータをバイナリに変換し、RC4 復号することで追加ペイロードなどの情報を取得できます。

図 1. Amadey の C2 サーバアドレス、およびチェックインリクエストとレスポンス

データ収集

2019 年 10 月 24 日から 2026 年 6 月 3 日まで、1 日 2 回 Amadey の C2 サーバに対してチェックインリクエストを送信し、そのレスポンスを取得しました。対象期間中に調べた C2 サーバの合計は 741 台であり、このうち 1 度でも Amadey の C2 サーバから期待されるレスポンスを受信できた C2 サーバの数は 493 台存在しました。調査対象とした C2 サーバのアドレスは、公開情報から収集しました。

前章の C2 通信の仕組みで解説した機能を実装したエミュレータを用いて、Amadey の C2 サーバ側で正しく復号できる Initial チェックインリクエストを送信し、Amadey の C2 サーバから取得できたレスポンスデータを蓄積しました。以降の章で用いるデータはこの蓄積したデータを分析した結果となっています。

活動中の C2 サーバ数の推移

図 2 はチェックインリクエストを送信したのち、期待されるレスポンスを取得できた C2 サーバの数を日次で集計したグラフです。2022 年の 2 月頃まで右肩上がりに推移した後、緩やかに減少傾向に転じました。Amadey がその存在感を示すまでに数年間の期間を要したことが把握できます。

図 2. 活動している C2 サーバ数の日次推移

観測開始後、2022 年の 9 月頃までは日次の活動中の C2 サーバ数がおおよそ 2 台から 18 台で推移していたものの、2023 年 1 月から 2023 年 12 月初旬では 5 台から 30 台で推移するようになり、Amadey が広く使われるようになった様子がうかがえました。2024 年に入ると一時的な休止期間があったのち、17 台をピークに段々と日次で活動中の C2 サーバの台数が減り、現在に至っています。

C2 サーバの活動日数

図 3 は Amadey の C2 サーバの活動日数を所定の期間ごとに分類した分布を示すものです。60 日未満で活動を終了する C2 サーバが大半である一方、1 年以上にわたり活動する C2 サーバも一部存在していました。

図 3. Amadey のC2サーバにおける活動日数の分布

1 日から 7 日間活動していた C2 サーバは全体のうち 20.69%、これに 8 日から 30 日間活動していたものを加えると 57.00% になり、約半数は 30 日以内に活動を終えていたことが分かりました。日数を延ばし 60 日以内に活動するものまで含めると 79.51%、90 日以内まで含めると 89.05% となり、Amadey の場合は約 9 割の C2 サーバが 90 日以内に活動を終えたことが分かりました。一方で 90 日よりも長く活動を続けた C2 サーバも約 1 割存在し、1 年以上 2 年未満が 2 台、2 年以上にわたり活動を続けたものが 2 台存在しました。

このことから、仮にマルウェアに感染し、そのマルウェアの初出時期が 1 年前であっても長期間活動中の C2 サーバにアクセスしてしまう可能性があることに防御側は留意する必要があるといえます。

Amadey経由でばらまかれたマルウェアの推移

図 4 は Amadey 経由でばらまかれたマルウェアの数について、日次で取得したユニークな追加ペイロード数を年ごとに合算したグラフとなっています。

図4. 各年で合算した日次ユニークな追加ペイロード数

観測開始から 2025 年に至るまで基本的には右肩上がりで数が推移していたことが分かりました。2019 年は 66 件、2020 年は 260 件であったものの、2021 年には年間で 1,231 件、2022 年には 3,500 件となり、マルウェアをばらまくインフラとして認知されるようになったことが推測できます。2023 年には年間で8,360 件となりました。この年は日次の活動中のC2サーバの数が急激に増加した時期と重なり、ばらまいたマルウェアの総数が急増したことが分かります。2024 年になると 7,619 件と少し数が減少したものの依然として年間を通して数多くのマルウェアをばらまいていました。2025 年になると 2023 年を超える 11,635 件となりました。日次の活動中の C2 サーバの数は減少傾向であったことを踏まえると、1 台あたりの C2 サーバから数多くのマルウェアをばらまいていたことが分かります。2026 年は年間を通じた集計ではないものの現時点で 1,837 件となりました。

2026 年のマルウェアのばらまきが少なかった一因は、ある C2 サーバから受信した追加ペイロード URL にアクセスしても PE 実行ファイルが存在しなかったことでした。このことより、該当 C2 サーバを利用している攻撃者が定期的なメンテナンスを行っていない可能性が推測できます。

Amadey経由でばらまかれたマルウェアの保存先

図 5 は Amadey の C2 サーバからばらまかれるマルウェアの URL を分析し、ドメインや IP アドレスに紐づく URL の数を集計した数のうち上位 20 件を表示しているグラフです。

図 5. IP アドレスとドメインに紐づく追加ペイロードの URL 数

大多数が IP アドレスとなっているものの、cdn[.]discordapp[.]com、bitbucket[.]org や github[.]com など広く知られたサービスからもマルウェアがばらまかれていることが分かります。特にソースコード共有サービスなどは社内環境からアクセスを許可するケースが多いことが推測できるため、マルウェアの侵入に対処するためにネットワークレベルだけでなく、エンドポイントレベルでもチェックを行う必要があるといえます。

まとめ

約 6 年半にわたる Amadey の C2 サーバの観測データから得られた知見を抜粋しました。

日次の活動中の C2 サーバの推移や Amadey を経由したマルウェアのばらまきの推移を観測すると、Amadey の出現後、数年間は目立った活動がなかったものの 4、5 年を経過したあたりから急速に拡大する様子を確認できました。このことから出現当時は話題とならないマルウェアであっても潜伏期間を経て急激にその存在感を示す場合があるため、出現初期に無名のマルウェアであったとしても、数年後に猛威を振るうケースがあることを認識した上で防御体制を構築することが望ましいといえます。

C2 サーバの活動期間のグラフからは、約 57% の C2 サーバが 30 日以内に活動を終えたことが分かりました。多くの場合、C2 サーバは短命であるという通説と一致する一方、1 年以上にわたり活動し続ける C2 サーバも存在しました。このことは感染したマルウェアの初出時期が数ヶ月以内のものでなかったとしても長期間活動中の C2 サーバにアクセスしてしまう可能性があり、マルウェアの新旧を問わず、感染すると C2 サーバにデータが流出してしまうということを改めて認識する必要があるといえます。

Amadey を用いてばらまかれたマルウェアを保持する URL のドメインや IP アドレスを確認すると日常的に利用する、広く知られたサービスからマルウェアをダウンロードする場合があることを確認できました。そのためネットワークレベルのみならずエンドポイントにおいても取得したファイルがマルウェアかどうかを確認する必要があるといえます。

謝辞

今回の措置には、マイクロソフトのほか、Europol EC3、ドイツ連邦刑事庁、デンマーク警察、オランダ警察などの法執行機関に加え、ESET、BitSight、Lumen、IBM、Proofpoint をはじめとする民間セキュリティ企業が協力しています。MBSD は本取り組みに参加された皆様のご尽力とご協力に感謝を申し上げます。

図 6. スプラッシュページ

CIG チームによる約 6 年半にわたる Amadey の C2 サーバの観測から得られた様々な知見はマイクロソフトが主導した Amadey と StealC のテイクダウンの措置において一定の貢献を果たすことができました。

MBSD は引き続き日本国内のみならず、グローバルな官民連携を通じてセキュアなデジタル社会の実現に尽力してまいります。