チェック・ポイント・リサーチ、情報窃取型マルウェア「Xloader」のAIを活用した解析レポートを発表

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2025年11月11日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
AIの活用によってマルウェア分析の高速化と自動化を実現し、脅威インテリジェンスとユーザー保護を強化

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、情報窃取型マルウェア「XLoader 8.0」の解析レポートを発表しました。また、この解析では従来のプロセスに生成AIのワークフローを融合することで、かつてないほど迅速かつ強化されたマルウェア分析が可能になったことが明らかになっています。

主なハイライト
- XLoader 8.0マルウェアは、現存する情報窃取型マルウェア（インフォスティーラー）の中でも最も高度なマルウェアのひとつで、多重暗号化、偽ドメイン、定期的なアップデートにより検出を回避し続けています。

- CPRはAI駆動型マルウェア分析を活用し、従来は数日かかっていた手作業でのリバースエンジニアリングをわずか数時間で完了させることに成功しました。

- 生成AIが自動的に暗号化レイヤーを特定し、関数を復号化。さらに隠されたコマンド＆コントロール（C2）ドメインも発見しました。

- その結果、侵害の痕跡（IoC）の迅速な抽出、高度な脅威インテリジェンス、そして世界中のユーザーをより効果的に保護できるようになりました。

アナリストにとっての悪夢
XLoaderは2020年以降、FormBookマルウェアファミリーの後継として進化を続けています。情報窃取に特化し、複数の暗号化レイヤーでコードを隠ぺいし、アンチウイルスツールやサンドボックスによる検出を回避するため、常に形態を変え続けています。

従来のマルウェア分析は時間がかかる上に手作業に依存しており、専門家がバイナリを解凍し、関数をトレースし、復号スクリプトを手作業で生成する必要がありました。サンドボックス（隔離され制御された環境でマルウェアを実行する手法）でさえ、あまり役には立ちません。なぜなら、Xloaderは実行中にのみ自身を復号化し、監視されていることを検知すると、本体のコードを隠ぺいする機能を持っているからです。

このことからXLoaderは、時間、複雑性、難読化を武器として用いる現代のマルウェアの代表例と言えます。

AI駆動のリバースエンジニアリング
CPRは、解析プロセスの迅速化と自動化を実現するため、AI駆動型のマルウェア分析技術を導入しました。ChatGPT（GPT-5）を用いて、以下の2つの相互補完的なワークフローを組み合わせました。
- クラウドベースの静的解析：IDA Proからデータ（逆アセンブルのデータ、デコンパイルされた関数、および文字列）をエクスポートし、クラウド上でAIに分析させます。このAIモデルは暗号化アルゴリズムを特定し、データ構造を認識し、さらにはコードの特定のセクションを復号化するためのPythonスクリプトまで生成します。

- MCPを活用したランタイム解析：AIをライブデバッガーに接続し、暗号化キー、復号後のバッファ、メモリ内のC2データなど、マルウェアの実行時の値を抽出します。

このハイブリッドAIワークフローによって、煩雑な手作業でのリバースエンジニアリングが、より高速で再現可能、かつチーム間で共有しやすい半自動プロセスへと変革を遂げました。

AIにより明らかになったこと
この新たなワークフローを活用し、以下の具体的な成果を達成しました。
- コアコードの復号化：AI生成スクリプトによって、これまで暗号化されていた100以上の関数を解読
- 暗号化レイヤーの解明：修正を加えたRC4アルゴリズムとXORマーカーを用いた、3種類の複雑な復号スキームを特定
- 隠されたAPIの公開：カスタムハッシュ処理によって隠ぺいされたWindows API呼び出しを自動的に難読化解除
- 64個の隠されたC2ドメインを復元：Base64およびRC4の多重エンコードを復号化し、攻撃者の実際のインフラを明らかに
- 新たなサンドボックス回避手法を発見：実行時にマルウェアの一部を一時的に暗号化し、監視を回避する「セキュアコールトランポリン」を発見

これらは、AIがXLoaderの隠ぺい・通信・自己防御メカニズムの解明に貢献したことを意味し、検知と防御の強化に不可欠な知見をもたらしました。今回の発見により、チェック・ポイントの脅威インテリジェンスが強化され、より迅速かつ正確な保護アップデートの提供が可能になりました。

AIがサイバーセキュリティにもたらす革新
AIは、マルウェアアナリストに取って代わるものではなく、むしろアナリストの能力を飛躍的に高めます。
- スピード：かつて数日かかっていた作業が、今や1時間以内に完了できます
- 再現性：エクスポートされたデータセットがあれば、誰でもAIワークフローを再実行し、結果を検証できます
- インサイト：自動化により、アナリストはマルウェアがどのように拡散し、情報を窃取し、進化するかという高度な挙動分析に集中できるようになります
- 防御：侵害の痕跡（IoC）の抽出が高速化され、脅威の発見から防御の展開までの時間を短縮できます

生成AIは現在、インシデント対応、リバースエンジニアリング、脅威ハンティングのための強力なツールです。

まとめ
マルウェアの作成者は今後、AI駆動型の分析に対抗する手法を開発してくる可能性がありますが、防御側の優位性は明確です。AIを活用することで、XLoaderのような複雑かつ高度に暗号化された脅威に対しても、ほぼリアルタイムでの対応が可能になります。

CPRでは、AI自動化、スクリプティング、ランタイム検証を組み合わせたワークフローの改良を継続し、マルウェア分析と脅威検出の拡大を進めています。

CPRのレポートの全文はこちらからご覧ください。

本プレスリリースは、米国時間2025年11月3日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションならびにLakeraの製品およびソリューションに関する見通し、Lakeraの機能を活用し統合する当社の能力、エンドツーエンドのAIセキュリティスタックを提供する当社の能力、チェック・ポイントの新たなGlobal Center of Excellence for AI Security設立に関する記述、そして買収の完了に関する記述が含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2025年3月17日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp