CountLoaderは情報窃取型マルウェアやランサムウェアなどを呼び込む「運び屋」として非常に厄介な存在です。
このローダー型マルウェアは、初期感染後にC2サーバーから複数の悪性プログラムを段階的にダウンロードし、被害を拡大させます。とくにACRStealerとの連携では、認証情報や暗号資産の窃取リスクが高まります。
本記事では、CountLoaderの仕組みと挙動、連携マルウェアの実例、検知回避の手法、そして効果的な防御策までをわかりやすく解説します。
目次
CountLoaderとは?
CountLoaderは、ユーザー操作をトリガーに起動する「ローダー型マルウェア」の一種です。自身は破壊行為を行わず、C2(Command & Control)サーバーと通信して後続のマルウェアをダウンロード・実行する役割を担います。
CountLoaderの特徴(静的解析困難・難読化・C2通信)
CountLoaderは、難読化や動的挙動により検知・解析を回避しながら、複数の悪性コードを段階的に呼び出す柔軟性を持っています。主な特徴は以下の通りです。
- 多様な形式での拡散: PDF、HTA、.NETバイナリ、PowerShellスクリプトなど
- 動的なマルウェア取得: C2通信により、実行時に必要なペイロードを取得・展開
- 環境適応型の攻撃: AV製品、OS種別、ドメイン情報などをもとに、投入マルウェアを最適化
さらに、ローダー本体はメモリ上でのみ活動する「ファイルレス型」として動作するケースが多く、ディスク上に明確な痕跡を残さないため、シグネチャベースのアンチウイルスでは検知されにくい構造となっています。
一方で、PowerShellの実行やネットワーク通信、異常なプロセス挙動などを監視するEDR(挙動検知型セキュリティ)では、検出されるケースも多数報告されています。
ローダー型マルウェア
ローダー型マルウェアとは、攻撃本体を後続に持ち、感染端末に侵入したあとで本命のマルウェアを呼び込む前段階ツールです。
CountLoaderはその典型例であり、RedLine Stealer、Formbook、ACRStealer、ランサムウェアなどを状況に応じて投下する「起動係」として利用されます。
この構成により、攻撃者はペイロードを柔軟に差し替えることができ、感染時点での検知を回避しつつ、持続的かつ多段階の攻撃を展開できます。
ランサムウェアグループとの連携
CountLoaderは、複数の調査機関から「LockBit・Black Basta・Qilinといったロシア系ランサムウェアオペレーションと結びついたローダー」として報告されています。
直接ランサム本体を常に投下するわけではないものの、ランサムウェアのIAB(Initial Access Broker)やアフィリエイトが使用する“初期侵入ツール”として機能しており、ランサム攻撃インフラとの深い関連性が指摘されています。
- LockBit
- BlackBasta
- Qilin(Agenda)
これらのグループは、Cobalt StrikeやRATを活用してネットワーク内の横展開を完了させた後、最終段階でランサムウェアを投入。データの暗号化に加えて、二重恐喝(データ漏洩+身代金要求)や情報公開型の戦術を取ることが一般的です。
>>【LockBit3.0】特徴やランサムウェアに感染した際の対処法を解説
>>「Qilin(Agenda)」ランサムウェアとは?特徴や感染時の対処方法を解説
CountLoaderの感染経路と攻撃手法
CountLoaderはばらまき型の攻撃でも標的型でも使われ、主にユーザー操作を誘導する形で感染が始まります。
スピアフィッシング/不正ドキュメント
感染は、PDF/HTA/圧縮ファイルなどを用いたスピアフィッシングや、偽ソフトのダウンロード経由で始まります。開封や実行により、CountLoaderがバックグラウンドで起動します。
C2通信と多段ペイロードの投入
感染後、CountLoaderはC2サーバと通信し、次々とマルウェアを投入していきます。
- 感染端末の環境情報(OS、セキュリティ製品など)を取得
- C2サーバーと認証付き通信を行い、次のペイロードを要求
- 状況に応じて複数のマルウェア(Stealer、RAT、ランサム)を順次実行
このように、CountLoaderは動的にマルウェアを切り替えながら投入できるマルチロール型ローダーとして機能します。
典型的な攻撃チェーンの流れ
実際に観測された典型的な攻撃の流れを、時系列で示します。
- クラックソフト/改ざんYouTubeページ → CountLoader侵入
- Cobalt StrikeやPureHVNCでネットワーク探索・権限昇格
- ACRStealer/Lumma Stealerで情報窃取
- 最終段階でLockBitなどのランサムウェアを展開
初期感染時はディスク上の明確な痕跡が残らないことが多いため、発覚時にはすでに認証情報の窃取・暗号化が完了していることが多いです。
CountLoaderと組み合わされる代表的なマルウェア
CountLoaderは、自らは攻撃本体を持たず、他のマルウェアを次々とC2経由で投下する「ローダー型マルウェア」です。
最近の攻撃では、Stealer(情報窃取)、RAT(遠隔操作)、ランサムウェア(暗号化)のいずれか、またはすべてを段階的に投入する多段攻撃が一般化しています。
情報窃取型マルウェア(Stealer)
Stealerは、認証情報・Cookie・ウォレットなどの個人データを狙うマルウェアで、CountLoaderによって最初に投下されることが多い攻撃カテゴリです。
- RedLine Stealer: ブラウザのログイン情報、暗号資産ウォレット情報を窃取。ダークウェブ流通量が多い。
- Formbook: キーログ・スクリーンショット機能を備えた監視型Stealer。
- Vidar: 匿名通信ネットワークを使い、追跡を困難にするC2構造を持つ。
- Lumma Stealer: 高速な情報収集性能を持ち、標的型でも使用される。
- ACRStealer: Google Docs等を中継C2に使う「Dead Drop Resolver」で通信秘匿性が高く、Cookie/VPN情報も広範囲に窃取。
- PureMiner: 情報窃取後に端末で不正マイニングを行うマルウェア。
>>RedLine Stealerとは?特徴・検知回避技術・被害リスクを徹底解説
>>FormBookマルウェアの感染経路や対処法について解説
ポストエクスプロイト/RAT系
Stealerで収集された情報や脆弱な端末環境を踏まえ、次に投入されるのが遠隔操作型マルウェア(RAT)やポストエクスプロイトツールです。これにより、横展開や持続的なアクセスが可能になります。
- Cobalt Strike Beacon: 攻撃フレームワーク。権限昇格や内部調査、ランサム展開の下地に。
- AdaptixC2: 新興のC2通信型RAT。GUI対応・静的解析回避構造。
- PureHVNC RAT: GUI操作可能な遠隔操作マルウェアで、実行中のユーザー画面を乗っ取れる。
こうしたツールは、標的企業の内部ネットワークへ深く入り込むための「第2段階攻撃」を担います。
CountLoaderは攻撃チェーンの起点となる配布・起動基盤として機能するため、侵入初期に検出・遮断できるかが被害の分岐点となります。
遠隔操作されている可能性や、不正アクセスを受けた形跡がある場合、自力での調査は非常に困難です。実際のところデータは時間が経つと上書きされ、後からでは確認できなくなる場合もあります。
フォレンジック調査専門業者なら、第三者だからこそできる客観的な調査で、端末やネットワークに残った痕跡を安全に解析し、不正アクセスの有無を正確に確認できます。調査結果は、必要に応じて警察や弁護士に相談するときの証拠にもなります。
当社はこれまで多数の不正アクセスや遠隔操作の相談に対応してきた実績があり、安心してご依頼いただけます。24時間365日、ご相談からお見積りまで専門アドバイザーが対応しています。自己判断が不安な場合や早急な対応が必要な場合は、迷わずご相談ください。
CountLoaderの被害と検出例
CountLoaderは自身で直接破壊行為を行うわけではありませんが、投入されるマルウェアによって、情報窃取やアカウント侵害、システム停止など深刻な被害に発展するケースが多く報告されています。
情報窃取/システム権限取得
CountLoaderが投下するStealerやRATによって、以下のような認証情報や設定情報が窃取されるリスクがあります。
- Windowsログイン情報、VPN、RDP、クラウド管理コンソールの認証情報
- 暗号資産ウォレット、オンラインバンキングアカウント情報
- メールクライアント(Outlook、Thunderbirdなど)の設定・保存情報
さらに、投入されたマルウェアがローカル権限を昇格させ、組織内で横展開(ラテラルムーブメント)を行うケースも報告されています。
EDRやアンチウイルスでの検知名例
CountLoaderは難読化やファイルレス実行により検出を回避する傾向がありますが、以下のような名称で検知されるケースもあります。
- Behavior:Win32/Injector.C!ml(挙動ベース)
- TrojanDownloader:Win32/CountDropper.A(ダウンローダー識別)
- Generic.RAT.XXXXX(ベンダーによりラベル差異あり)
ただし、これらのマルウェアは感染後すぐにメモリから揮発・自己削除される場合も多く、EDRログやメモリダンプの保全が、攻撃全体の可視化や原因特定の鍵となります。
フォレンジック専門業者では、端末やサーバー、ネットワーク機器からログ・メモリダンプなどの証拠を保全し、侵入経路やマルウェアの活動履歴を時系列で特定することが可能です。感染の有無や被害範囲を明確にし、法的対応にも活用できる調査報告書として提出することができます。
当社では、24時間365日、電話受付と無料診断を実施しており、初回のご相談から調査方針のご提案、お見積りまで無料でご案内しています。調査が必要かどうか迷われている段階でも、お気軽にご相談ください。
詳しく調べる際はフォレンジック調査会社に相談を
マルウェアやランサムウェア感染、不正アクセス、社内での不正や情報持ち出しが起きた場合、どの経路から侵入され、どんな情報が漏えいしたのかを正確に把握することが重要です。
しかし、自力で調査を行うと調査範囲が不十分になったり、誤操作で証拠データが失われることがあり、結果的に被害の全容が分からなくなる恐れがあります。
デジタルデータフォレンジックでは、インシデント対応の専門家が初動対応から徹底サポートします。専用の解析設備を使い、ネットワークや端末を詳細に調査・解析し、調査報告書の提出や報告会までワンストップで対応します。
官公庁・上場企業・捜査機関など幅広い組織への対応実績があり、専門の担当者とエンジニアが迅速かつ正確に調査を実施します。
ご相談・初期診断・お見積りはすべて無料です。お電話またはメールでお気軽にお問い合わせください。状況をヒアリングし、最適な対応方法をご案内いたします。
CountLoaderに対する対策と予防策
CountLoaderは単体では目立った挙動を示さないにもかかわらず、他のマルウェア(情報窃取、RAT、ランサムなど)を段階的に投入する特徴があり、侵入を許した時点で組織全体のリスクが一気に拡大します。
ここでは、企業および個人ユーザーそれぞれの視点から、CountLoaderを含む多段攻撃に備えるための対策を整理します。
企業が実施すべきセキュリティ対策
CountLoaderのようなローダー型マルウェアは、標的型攻撃にもばらまき型にも利用されるため、企業全体のセキュリティ設計が問われる存在です。以下のような多層的対策が必要です。
- スクリプト/HTA/マクロ付きファイルの実行制限とロギング
- アプリケーション制御による不審な実行ファイルのブロック
- EDR製品によるC2通信/メモリ上の実行/PowerShell異常の検出強化
- UEBAによる短時間大量ファイルアクセス/外部送信の監視
- 非正規ソフトのインストールを禁止(公式ストア経由に限定)
- YARA・Sigmaルールによるプロセス異常の検知設計
とくに、UTMやウイルス対策ソフトを導入しているから安心、という認識は危険です。実際には、これらをすり抜けて侵入するマルウェアも多く報告されています。
万が一の感染に備え、EDRログの保全設計や、フォレンジック調査の実施フローを事前に整備しておくことが、被害拡大防止に直結します。
ユーザーが意識すべき行動と対策
個人や従業員レベルでも、CountLoaderの侵入リスクを抑える行動は重要です。特に在宅勤務やBYOD環境下では、私的な操作から業務システムへ被害が波及する恐れがあります。
- クラックソフトや非正規アップデータは使用しない
- メール添付ファイル(PDF、ZIP、スクリプトなど)を不用意に開かない
- ブラウザやウォレットへのパスワード保存を避ける
- すべてのサービスで多要素認証(MFA)を有効にする
- 不審な挙動に気づいたら再起動せず、ログを保全する
サイバーセキュリティの専門業者に相談する
上記の対策を講じていても、未知の手口やゼロデイ攻撃による被害を完全に防ぐことは困難です。適切なセキュリティ体制を構築するには、サイバーインシデント対応の実績がある専門家に相談することが極めて重要です。
専門家のノウハウを活用することで、最新の攻撃動向と自社の規模・予算に合わせた防御策を設計でき、マルウェア感染や不正アクセスによる情報漏洩を未然に防いだり、緊急時の初動対応先として備えることが可能になります。
当社は、24時間365日、電話受付と無料診断を行っておりますので、いつでも安心してご相談ください。相談から初期診断・お見積りまで無料でご案内しています。自己判断が不安な場合や早急な対応が必要な場合は、迷わずご相談ください。
まとめ
CountLoaderは、いわば「入口専用のマルウェア」でありながら、非常に危険な被害の起点となる存在です。感染後は情報窃取型マルウェアやランサムウェアと組み合わされ、複数のマルウェアによる連鎖的被害を引き起こします。
ファイルレス実行やメモリ常駐型として振る舞うことも多く、検知や追跡が困難であることから、感染に気づかず放置されてしまうリスクも高いマルウェアです。
そのため、組織においては「感染してから対応」ではなく、「感染させない」「見えない痕跡も早期に察知する」体制づくりが急務となります。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
