月刊マルウェア分析 2026年4月版｜XWorm の台頭とLOTLの脅威

本記事は、MalwareBazzar に掲載されたマルウェアサンプルをもとに、VirusTotal のAPIを用いた分析結果を踏まえて作成しています。

MalwareBazzar とは、abuse.ch という非営利のセキュリティ研究プロジェクトが運営している、マルウェアサンプル共有プラットフォームです。マルウェアの収集や分析を通じて脅威対策を行うことを目的としています。

VirusTotal とは、Google のグループ企業である Chronicle Security Ireland Limited によって運営されているマルウェア解析・検知共有プラットフォームです。世界中のセキュリティベンダーがスキャンエンジンを提供しており、ファイルやURLにマルウェアが含まれているかをチェックすることができます。

今回、情報の収集および整理に当たっては、悪意ある利用の防止を最優先に配慮しているため、記載内容を用いた不正行為は固く禁じます。

本記事の目的は、企業の情報システム部門やセキュリティ担当者やSOC（Security Operation Center）運用者の皆様が、脅威の実態を正しく理解し、効果的な対策を検討する一助となることです。また、セキュリティ専任者を置くことが難しい中小企業の皆様にとっても、現実的な脅威の一端を知り、身近にできる対策を考えるきっかけとなれば幸いです。

^{※本記事の内容は、特定時点における独自の調査結果をもとに作成したものであり、記載の数値や分析結果の完全な正確性を保証するものではありません。}

2026年3月版はこちら↓

2026年4月に MalwareBazzar にて観測されたマルウェアの種類別割合は以下の通りでした。

2026年4月の観測データによると、Mirai は3,636件で全体の過半数（53.7％）を維持し、ボットネットの慢性的な活動が引き続き続いていることが確認されました。一方で、今月の大きな特徴は、XWorm が539件と急上昇し2位となった点と、RAT（Remote Access Trojan）系マルウェアの存在感が全体的に高まったことです。3月に上位だったInfoStealer系は件数・順位ともに後退し、攻撃の傾向が大きく変化した月となりました。

今月最も大きな変化は、XWorm（539件）が急増したことです。3月の観測では上位になかったこのマルウェアが、一気に Mirai に次ぐ第2位となりました。XWorm は、リモートアクセスやキーロギング、クリップボード監視、ランサムウェア機能、DDoS攻撃など、多様な機能を1つのバイナリにまとめた多機能型 RATです。安価な価格帯でMaaS（Malware as a Service）として提供されているため、技術力の低い攻撃者でも高度な攻撃を行える点が、急速な拡大の要因です。

XWorm は、フィッシングメールに添付される.NET製ローダーや、PDF・ZIPを装った偽装ファイルで配布される例が多く報告されています。実行されるとコマンドアンドコントロール（C2）サーバーと暗号化通信を開始し、攻撃者の指示でさまざまな行動に切り替わります。InfoStealerとは異なり、感染端末を「継続的に支配下に置く」ことを目的としている点が特徴です。

XWorm の登場に限らず、4月はRAT系全体の観測数が増加しました。AgentTesla（275件）、RemcosRAT（133件）、AsyncRAT（124件）、ValleyRAT（162件）、QuasarRAT（60件）など複数の種類が並んでおり、「感染端末を遠隔から制御する」という手法が今月の主流となっています。

これらRATは個別の特徴を持ちつつ、共通して初期侵入にフィッシングメールや偽装ファイルを利用し、感染後には資格情報の窃取、スクリーンショット取得、追加マルウェアの投下など多段階の攻撃を行います。特に企業環境では、1台の端末から社内ネットワーク全体へと感染が広がるリスクが高いため、注意が必要です。

さらに、ValleyRAT（162件）が注目されます。中国語ファイル名（例：「2026年第一季度内職人員違纪名单信息.exe」）を持つサンプルが複数見つかっており、中国語話者を狙ったキャンペーンの継続を示唆しています。

3月に続き、正規のリモート管理ツールを悪用するLOTL（Living off the Land）手法も継続して確認されています。今月は NetSupport（104件）に加え、ConnectWise（228件）が新たに上位に入りました。

ConnectWise は企業のIT管理部門で広く使用されるリモート監視・管理（RMM）ツールです。正規の署名と通常運用と区別のつきにくい通信パターンを持っているため、セキュリティ製品による検知が困難であり、攻撃者が好んで利用する傾向があります。NetSupport と同じく、フィッシングや偽サイト経由でインストールされる事例が多いです。

社内で ConnectWise の利用実態を把握していない組織では、怪しいプロセスの存在自体を見逃すリスクがあります。「本来使わないはずのツールが動作していないか」を定期的に確認することが、こうした攻撃を早期に発見するうえで重要です。

3月に多かった Vidar（391件 → 180件）、ACRStealer（188件 → 84件）、PhantomStealer（143件 → 108件）は件数が減り、存在感が下がりました。ただし完全に消えたわけではなく、LummaStealer（78件）、SalatStealer（88件）、RustyStealer（91件）なども引き続き観測されています。

MaaSモデルで出回るInfoStealerは、法執行機関の摘発や他ツールの台頭によって使用されるツールが切り替わる傾向があります。今月の件数減少がトレンド転換か一時的なものかは、今後も注視が必要です。

Mirai の主な感染経路である「デフォルトパスワード未変更」や「未更新機器」への対応を最優先してください。ルーターやカメラなどのファームウェアを最新にし、認証情報も見直しましょう。

XWorm などのRATは、従来型のシグネチャ検知では検出が難しい場合があります。EDR（Endpoint Detection and Response）製品による振る舞い検知が、不審なプロセスや異常な通信の早期発見に役立ちます。

ConnectWise や NetSupport などの正規RMMツールの社内利用を正確に把握し、想定外のプロセス起動には適切なアラートが出る体制を作ることが、LOTL攻撃への有効な対策となります。

RATやInfoStealerによる初期感染の多くは、フィッシングメールや偽装ファイルがきっかけです。技術的な対策だけでなく、社員への継続的な教育も重要となります。