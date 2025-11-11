チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.(https://www.checkpoint.com/jp/)、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、情報窃取型マルウェア「XLoader 8.0」の解析レポートを発表しました。また、この解析では従来のプロセスに生成AIのワークフローを融合することで、かつてないほど迅速かつ強化されたマルウェア分析が可能になったことが明らかになっています。

主なハイライト

- XLoader 8.0マルウェア(https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-malware/deepfake-cyber-security-threats/)は、現存する情報窃取型マルウェア（インフォスティーラー）の中でも最も高度なマルウェアのひとつで、多重暗号化、偽ドメイン、定期的なアップデートにより検出を回避し続けています。- CPRはAI駆動型マルウェア分析を活用し、従来は数日かかっていた手作業でのリバースエンジニアリングをわずか数時間で完了させることに成功しました。- 生成AIが自動的に暗号化レイヤーを特定し、関数を復号化。さらに隠されたコマンド＆コントロール（C2）ドメインも発見しました。- その結果、侵害の痕跡（IoC）の迅速な抽出、高度な脅威インテリジェンス、そして世界中のユーザーをより効果的に保護できるようになりました。



アナリストにとっての悪夢

XLoaderは2020年以降、FormBookマルウェアファミリーの後継として進化を続けています。情報窃取に特化し、複数の暗号化レイヤーでコードを隠ぺいし、アンチウイルスツールやサンドボックスによる検出を回避するため、常に形態を変え続けています。

従来のマルウェア分析は時間がかかる上に手作業に依存しており、専門家がバイナリを解凍し、関数をトレースし、復号スクリプトを手作業で生成する必要がありました。サンドボックス（隔離され制御された環境でマルウェアを実行する手法）でさえ、あまり役には立ちません。なぜなら、Xloaderは実行中にのみ自身を復号化し、監視されていることを検知すると、本体のコードを隠ぺいする機能を持っているからです。

このことからXLoaderは、時間、複雑性、難読化を武器として用いる現代のマルウェアの代表例と言えます。

AI駆動のリバースエンジニアリング

CPRは、解析プロセスの迅速化と自動化を実現するため、AI駆動型のマルウェア分析技術を導入しました。ChatGPT（GPT-5）を用いて、以下の2つの相互補完的なワークフローを組み合わせました。

- クラウドベースの静的解析：IDA Proからデータ（逆アセンブルのデータ、デコンパイルされた関数、および文字列）をエクスポートし、クラウド上でAIに分析させます。このAIモデルは暗号化アルゴリズムを特定し、データ構造を認識し、さらにはコードの特定のセクションを復号化するためのPythonスクリプトまで生成します。- MCPを活用したランタイム解析：AIをライブデバッガーに接続し、暗号化キー、復号後のバッファ、メモリ内のC2データなど、マルウェアの実行時の値を抽出します。

このハイブリッドAIワークフローによって、煩雑な手作業でのリバースエンジニアリングが、より高速で再現可能、かつチーム間で共有しやすい半自動プロセスへと変革を遂げました。

AIにより明らかになったこと

この新たなワークフローを活用し、以下の具体的な成果を達成しました。

- コアコードの復号化：AI生成スクリプトによって、これまで暗号化されていた100以上の関数を解読- 暗号化レイヤーの解明：修正を加えたRC4アルゴリズムとXORマーカーを用いた、3種類の複雑な復号スキームを特定- 隠されたAPIの公開：カスタムハッシュ処理によって隠ぺいされたWindows API呼び出しを自動的に難読化解除- 64個の隠されたC2ドメインを復元：Base64およびRC4の多重エンコードを復号化し、攻撃者の実際のインフラを明らかに- 新たなサンドボックス(https://www.checkpoint.com/jp/cyber-hub/threat-prevention/what-is-sandboxing/)回避手法を発見：実行時にマルウェアの一部を一時的に暗号化し、監視を回避する「セキュアコール トランポリン」を発見

これらは、AIがXLoaderの隠ぺい・通信・自己防御メカニズムの解明に貢献したことを意味し、検知と防御の強化に不可欠な知見をもたらしました。今回の発見により、チェック・ポイントの脅威インテリジェンスが強化され、より迅速かつ正確な保護アップデートの提供が可能になりました。

AIがサイバーセキュリティにもたらす革新

AIは、マルウェアアナリストに取って代わるものではなく、むしろアナリストの能力を飛躍的に高めます。

- スピード：かつて数日かかっていた作業が、今や1時間以内に完了できます- 再現性：エクスポートされたデータセットがあれば、誰でもAIワークフローを再実行し、結果を検証できます- インサイト：自動化により、アナリストはマルウェアがどのように拡散し、情報を窃取し、進化するかという高度な挙動分析に集中できるようになります- 防御：侵害の痕跡（IoC）(https://www.checkpoint.com/jp/cyber-hub/cyber-security/what-are-indicators-of-compromise-ioc/)の抽出が高速化され、脅威の発見から防御の展開までの時間を短縮できます

生成AIは現在、インシデント対応、リバースエンジニアリング、脅威ハンティングのための強力なツールです。

まとめ

マルウェアの作成者は今後、AI駆動型の分析に対抗する手法を開発してくる可能性がありますが、防御側の優位性は明確です。AIを活用することで、XLoaderのような複雑かつ高度に暗号化された脅威に対しても、ほぼリアルタイムでの対応が可能になります。

CPRでは、AI自動化、スクリプティング、ランタイム検証を組み合わせたワークフローの改良を継続し、マルウェア分析と脅威検出の拡大を進めています。

CPRのレポートの全文はこちら(https://research.checkpoint.com/2025/generative-ai-for-reverse-engineering/)からご覧ください。

本プレスリリースは、米国時間2025年11月3日に発表されたブログ(https://blog.checkpoint.com/research/cracking-xloader-with-ai-how-generative-models-accelerate-malware-analysis/)（英語）をもとに作成しています。

Check Point Researchについて

Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。

ブログ: https://research.checkpoint.com/

X: https://x.com/_cpresearch_

チェック・ポイントについて

チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。



