本記事は、近年確認されたマルウェア「GravityRAT」の機能変化と分析回避手法を整理し、クロスプラットフォーム化がもたらす構造的な影響を説明するものです。従来は特定のOSに限定されていた脅威が、どのような技術的経路を経て対象範囲を広げたのかを中心に、本記事の対象となる事象を整理します。
GravityRATの概要と発生経緯
GravityRATは、当初はWindows環境を対象としたリモートアクセス型マルウェアとして確認されました。主な機能は、感染端末上での情報収集や外部サーバーとの通信確立であり、標的型攻撃の一部として利用される事例が報告されていました。
その後の分析により、GravityRATはWindows専用という前提を離れ、複数のOSに対応する設計へ移行したことが確認されています。
この変化は単なる対応範囲の拡大ではなく、内部構造そのものが再設計されたことを示しています。コードの一部が共通化され、環境ごとに機能を切り替える構成が採用されている点が特徴です。
この点から、開発側が特定の攻撃対象に依存しない長期運用を前提としている可能性が示唆されます。従来の単発的なマルウェアとは異なり、継続的な改変と配布を前提とした設計思想が確認できるためです。以上を踏まえると、GravityRATは単一事象ではなく、進行中の脅威として位置づける必要があります。
クロスプラットフォーム対応による影響
GravityRATは現在、Windowsに加えてAndroidおよびmacOS環境でも動作することが確認されています。この結果、攻撃対象はPCに限定されず、モバイル端末や個人利用のノート端末にも拡大しています。
特にAndroid版では、端末内に保存されたWhatsAppのバックアップデータを窃取する機能が確認されています。
WhatsAppは自動バックアップ機能を持つため、メッセージ履歴や添付ファイルが一定期間保存される構造です。そのため、端末本体ではなくバックアップ領域を狙う手法が成立します。
一方で、macOS向けの亜種では、システム情報やファイル構成の取得が中心となっており、企業端末や開発環境を想定した設計である可能性が指摘されています。つまり、同一名称のマルウェアであっても、OSごとに役割が分化している点が特徴です。
言い換えると、GravityRATは「単一の攻撃ツール」ではなく、「複数環境に適応する攻撃基盤」として機能していると整理できます。この構造が、検知や対策を複雑化させる要因となっています。
CPU温度を用いたサンドボックス検知手法
GravityRATの分析で注目された点の一つが、CPU温度を利用した実行環境の判別です。これは、マルウェア解析で一般的に用いられるサンドボックス環境を回避するための仕組みとされています。
具体的には、CPU温度が一定範囲に収まらない場合、仮想環境や解析環境であると判断し、挙動を制限する設計が確認されています。
多くの自動解析環境では、実機とは異なる温度変動を示すため、この差異を利用した検知が成立します。
ただし、この手法は万能ではなく、温度制御が適切に行われた環境では回避される可能性もあります。なお、CPU温度というハードウェア情報を参照する点から、従来よりも一段踏み込んだ環境認識を行っていることが分かります。
この結果、解析者側は単に仮想環境を用意するだけでは不十分となり、実機に近い条件設定が必要となります。そうすることによって、マルウェアの全挙動を把握する難易度が上昇します。
情報窃取対象と実務上の整理
GravityRATが窃取対象とする情報は、OSや環境によって異なりますが、共通しているのは「利用者の行動履歴や通信内容」に関わる点です。以下に、確認されている主な対象を整理します。
| 対象環境 | 主な窃取対象 | 技術的特徴 |
|---|---|---|
| Windows | ファイル、システム情報 | 常駐型通信機能 |
| Android | WhatsAppバックアップ | ストレージ直接参照 |
| macOS | システム構成情報 | 権限取得後の収集 |
このように整理すると、GravityRATは環境ごとに異なる「価値の高い情報」を選択的に取得していることが分かります。
ただし、共通して外部サーバーとの通信が発生する点は一致しており、ネットワーク監視が判断材料として重要となります。
要点を整理すると、GravityRATは機能拡張と環境検知を同時に進めることで、検知回避と情報収集の両立を図っている構造です。今後も同様の手法が他のマルウェアに波及する可能性があるため、技術的特徴の把握が継続的な確認点となります。
