チェック・ポイント・リサーチ、Linuxインフラを標的にするクラウドネイティブなマルウェアフレームワーク「VoidLink」を報告

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2026年01月27日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
VoidLinkは一人の脅威アクターがAIを使用して数日間で生成したと見られ、その高度な洗練と迅速な進化によってAI生成によるマルウェア開発の転換点が浮き彫りに

概要
- VoidLinkはクラウドネイティブなLinux向けのマルウェアフレームワークです。個々のエンドポイントを狙うのではなく、クラウドインフラへの長期的かつステルスでのアクセス維持を目的として設計されています。

- VoidLinkの攻撃は、攻撃者の焦点がWindowsシステムから、クラウドサービスや重要な業務を支えるLinux環境へと移行していることを示唆しています。
- モジュール化されたプラグインベースの設計により、脅威アクターは時間の経過とともに柔軟に機能をカスタマイズし、目的の変化に応じて密かに攻撃能力を拡張することが可能になります。
- 適応型のステルス機能によってターゲットの防御態勢に応じた動作が可能となり、監視が厳しい環境では検知回避を優先し、可視性が限定的な環境では速度を重視します。

- VoidLinkの複雑なマルウェアフレームワークは、一人の脅威アクターがAIを用いて数日という短期間に計画・構築・反復したと見られます。AIの支援によって開発された従来のマルウェアが低品質または派生的であったのに対し、高度な洗練と迅速な進化を示すAI生成マルウェアの最初期の例の一つとして重要です。

- VoidLinkは、AIが単にマルウェア開発を支援するだけではなく、マルウェア開発の主役となって高度で複雑な攻撃への参入障壁を下げ、脅威が出現する速度と規模を加速させている転換点を浮き彫りにしています。

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、最新のLinuxベースのクラウド環境内で動作するよう設計された高度なマルウェアフレームワーク「VoidLink」を新たに特定しました。サイバー脅威の多くが依然としてWindowsシステムを標的とする中で、VoidLinkはクラウドサービスを支えるインフラや、企業・政府・重要サービスの稼働を支える組織の重要システムを標的としており、攻撃者の焦点が変化しつつあるという懸念すべき傾向が明らかになっています。

VoidLinkはまた、AIの進化に伴うサイバー脅威の生成方法の変化を浮き彫りにしました。サイバー犯罪者はこれまでも、AIを単純な作業の自動化、既存のマルウェアの改ざんなどに用いてきました。しかしその大半は品質が低く、経験の浅い攻撃者によって開発されているか、オープンソースツールとの類似が指摘されてきました。今回CPRによって特定されたVoidLinkはそのパターンを破り、AIによるマルウェア開発の劇的な高度化と迅速化を示しています。

VoidLinkの出現は開発の初期段階で特定され、実際に被害者に対する積極的な攻撃に使用されてはいません。しかし、こうしたフレームワークが経験豊富で高度な技術を持つ脅威アクターの手に渡ることで、クラウドインフラ自体が攻撃対象領域にされる可能性があります。

VoidLinkは包括的なマルウェアエコシステムであり、侵害されたLinuxシステム、特にパブリッククラウドプラットフォームやコンテナ環境上で動作するシステムに対して、長期的かつステルスなアクセスを維持するために設計されています。その設計には、プロの脅威アクターに典型的な高度な計画性と投資規模が反映されており、防御者がインフラの密かな乗っ取りに気付かないまま事態が深刻化する可能性が高くなっています。

活動の隠ぺいを目的として設計されたクラウド用マルウェア
従来のマルウェアでは後付けでクラウドに対応したのに対し、VoidLinkは最初からクラウド環境を前提として構築されたと見られます。VoidLinkは展開後、どのクラウドプロバイダーによる稼働かを識別し、仮想環境内かコンテナ環境内のいずれで動作しているかを判断した上で、自身の挙動を調整します。

こうしたクラウドの環境認識能力によって、攻撃者は正規のインフラに静かに溶け込むことが可能になり、通常の運用活動の中から悪意ある活動を検知することがより困難になります。このフレームワークは、短期的な妨害ではなく、長期的なアクセス、監視、データ収集を目的として設計されています。

設計段階からモジュール化、進化を前提に構築
VoidLinkの主要な特徴の一つは、高度にモジュール化されたアーキテクチャです。VoidLinkは単一の静的なツールとしてではなく、カスタマイズ可能な攻撃プラットフォームとして動作します。プラグインは必要に応じてロード、交換、削除が可能であり、オペレーターは作戦の進行に応じて、各ターゲットに最適化した形でフレームワークをカスタマイズできます。CPRの調査の結果、現在30以上のプラグインが特定されています。これらは、ステルス偵察や認証情報の収集、横方向への移動、コンテナの悪用、さらには目標達成後にフォレンジック痕跡を消去するなど、幅広い活動を可能にする機能を備えています。

このモジュール化により、攻撃者はマルウェアを展開するごとに各々の標的環境に応じた機能の柔軟なカスタマイズができます。また、コアインプラントを変えることなく、新たな機能を追加してフレームワークを迅速に進化させることが可能です。

ターゲットの防御環境に適応するステルス設計
VoidLinkは、隠密性を強く重視しています。実行環境のセキュリティ態勢を評価し、導入されている監視ツールやエンドポイント保護技術、システムのハードニング状況などを特定して、その評価結果に基づき攻撃の強度を調整します。

防御が堅牢な環境ではステルス性を優先して活動のスピードを落とし、監視が限定的な環境ではより自由に動作します。このように挙動を動的に調整する能力こそ、VoidLinkが従来のLinux向けマルウェアと明確に一線を画する重要な要素です。

また、このフレームワークには、攻撃者自身を保護するための複数の運用セキュリティ（OPSEC）機能も組み込まれています。具体的には、主要コンポーネントをメモリ内で隠ぺいするランタイムコード保護や、改ざんや分析が検出された場合にマルウェアを完全に除去する自動自己破壊メカニズムなどが含まれます。

VoidLinkの重要性
VoidLinkは、攻撃者の焦点における大きな変化を浮き彫りにしています。Linuxシステム、クラウドインフラ、アプリケーション展開環境は、企業活動においてますます中核的な役割を担っています。組織が重要なワークロードをクラウドへ移行するにつれて、脅威アクターはこれらの環境で動作するよう特別に設計されたツールへの投資を進めています。

VoidLinkのようなフレームワークは、可視性やセキュリティ上の前提に存在するギャップを悪用することを目的として構築されており、特に従来のエンドポイント保護の展開が限定的、または一貫されていない環境を想定しています。

AIに依存することで高度な脅威を迅速に開発
VoidLinkは中国関連の脅威アクターによって開発・維持されている可能性が示唆されていますが、その正確な所属関係は依然として不明確です。このフレームワークは、複数のプログラミング言語や最新の開発手法、Linux OSの内部構造に関する深い知識を組み合わせた、高度な技術的専門性を示しています。

その後のより深い分析から、一見大規模な組織や商業的なサイバー作戦に関連すると見られるVoidLinkが、おそらく一人の脅威アクターによって作成されたと見られることが明らかになりました。AIは、コードを書くだけでなく、プロジェクト全体の計画・構造化・実行にわたり利用されたと見られます。脅威アクターは、開発サイクルの以下の各段階をAIに依存しました。
- 詳細な開発計画とタイムラインの作成
- 仕様と成果物の定義
- マルウェアのテスト、反復、拡張に関するガイド

これらの各段階は、従来、複数のチームによる数カ月間の作業を必要としますが、VoidLinkでは数日へと圧縮されました。このマルウェアが1週間未満で機能段階に達したことは、露見した資料によって裏付けられています。

これにより、重要な転換点が浮き彫りになりました。AIが複雑なサイバー兵器の開発における障壁を劇的に低減させ、もはや大規模なチームやリソース、長期間にわたる開発サイクルを必要とせずに、熟練した個人が高度な脅威を生み出し得るという事実です。

仮想のリスクから現実の脅威へ
サイバーセキュリティの専門家は長年にわたり、AIがサイバー犯罪を加速させる可能性について警告してきました。VoidLinkはそのリスクがすでに現実のものとなったことを示しています。AIは、開発速度の加速、高度化、迅速な反復と規模拡大を可能にします。高度な技術を持つ攻撃者がAIを活用することで、単に既存の脅威を強化するだけでなく、複雑性の高い攻撃をより実現しやすく一般的なものにします。それにより、マルウェア開発のエコシステム自体に変革が生じます。

防御側が知るべきこと
セキュリティチームは、クラウドでホストされているLinuxシステムを高価値ターゲットとして扱う必要があります。具体的には、クラウドワークロードの可視性向上、アプリケーション環境の監視、そして従来のエンドポイントを超えた脅威検知の拡張が求められます。まだ登場して間もないものの、VoidLinkの設計は、高度な脅威の今後の方向性を明確に示しています。

VoidLinkはまた、防御側も攻撃者の手法の進化に後れを取ることなく、迅速に適応する必要があることを浮き彫りにしました。AIによって脅威の生成環境が変化する中、組織は以下の対策を実施する必要があります。
- より強固で防止優先のセキュリティ戦略
- リアルタイムの脅威インテリジェンス
- より高速な検知および対応能力
- 機械の速度に合わせて適応できるセキュリティツール

AIの悪用によって進化する脅威の速度に対応するためには、攻撃が開始された後に対応するのではなく、積極的な防御と継続的な可視性の維持が重要です。

VoidLinkの特定は、単に新しいマルウェアの発見というだけでなく、脅威環境におけるより広範な変化を示しています。AIによる高度なマルウェア生成のリスクは現実のものとなり、急速に進化を続けています。AI技術の向上が続く中、セキュリティの中核とすべき原則は、「イノベーションには、それに見合ったセキュリティ対策が必要である」ということです。そのため、攻撃者がどのようにAIを利用しているかを理解することが、防御の第一歩となります。

チェック・ポイントによる保護
チェック・ポイントのThreat EmulationとHarmony Endpointは、様々なOS、ファイルタイプ、そして今回確認されたVoidLinkフレームワークの高度な戦術を含む攻撃手段に対応する、包括的な保護を提供します。VoidLinkの技術および分析結果の詳細は、CPRのブログをご確認ください。

本プレスリリースは、米国時間2026年1月13日に発表されたブログおよび2026年1月19日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションならびにLakeraの製品およびソリューションに関する見通し、Lakeraの機能を活用し統合する当社の能力、エンドツーエンドのAIセキュリティスタックを提供する当社の能力、チェック・ポイントの新たなGlobal Center of Excellence for AI Security設立に関する記述、そして買収の完了に関する記述が含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2025年3月17日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp