Golangは、多くのマルウェア開発者が選択するプログラミング言語となりつつあります。サイバーセキュリティ企業のIntezerによると、野生で発見されたGoベースのマルウェア株は、2017年から約2,000%増加しています。

このマルウェアを使った攻撃は、今後ますます増加することが予想されます。最も心配なのは、単一のGoコードベースからの圧力で、複数のオペレーティングシステムをターゲットにしている脅威者が多く見られることです。

ここでは、この新たな脅威について知っておく必要があることをすべて説明します。

ゴランは何ですか？

Go（Golangとも呼ばれる）は比較的新しいオープンソースのプログラミング言語です。2007年にGoogle社のRobert Grimmer氏、Rob Pike氏、Ken Thompson氏によって開発されたが、正式に一般公開されたのは2009年になってからである。

C++やjavaに代わるものとして開発されました。私たちの目標は、シンプルで理解しやすいものを作ることでした。

関連：このgooglego開発者トレーニングでAndroidの言語を学ぶ

なぜサイバー犯罪者はgolangを使うのか？

現在、Golangベースのマルウェアが何千も出回っています。国家が支援するハッキンググループもしないハッキンググループも、リモートアクセス型トロイの木馬（ラット）、泥棒、コインマイナー、ボットネットなど、さまざまなウイルスにこのソフト**を使用しています。

この種のマルウェアが特に強力なのは、同じコードベースを使用してWindows、macOS、Linuxをターゲットにできることです。これは、マルウェア開発者が一度コードを書き、このコードベースを使って複数のプラットフォーム用のバイナリをコンパイルできることを意味します。静的リンクを利用すれば、開発者がLinux用に書いたコードをMacやWindowsで実行することができる。

WindowsやLinuxのマシンを狙うゴーベースの暗号マイニングや、macOS、Windows、Linuxのデバイス上でトロイの木馬を実行するマルチプラットフォーム暗号通貨泥棒が確認されています。

この汎用性に加え、囲碁で書かれた曲は非常に陰湿であることがわかった。

Goで書かれたマルウェアはサイズが大きいため、多くは検出されずにシステムに侵入します。また、静的リンクの関係で、Goのバイナリは他の言語のバイナリより大きくなります。多くのアンチウイルスサービスは、このような大きなファイルをスキャンする機能を備えていません。

さらに、Goのバイナリに含まれる疑わしいコードを見つけることは、主流の言語で書かれた他のコードと比較して、デバッガの下で非常に異なって見えるため、ほとんどのアンチウイルスウイルスユーザーにとってより困難です。

このプログラミング言語の性質上、Goのバイナリをリバースエンジニアリングして解析するのが難しいのは仕方がないことです。

多くのリバースエンジニアリングツールはCやC++からコンパイルされたバイナリの解析に優れていますが、GOベースのバイナリはリバースエンジニアにとってまだ新しい課題を残しています。これにより、Golangマルウェアの検出率は大幅に低下しました。

Goベースのマルウェアの種類と攻撃ベクトル

2019年以前は、Goで書かれたマルウェアはほとんど発見されていなかったと思われますが、近年、Goベースのマルウェアの種類は確実に増えています。

あるマルウェア研究者が、10,700個のユニークなマルウェアを発見しました。最も一般的なのはネズミやバックドアですが、ここ数カ月はGoで書かれた陰湿なランサムウェアも数多く見受けられます。

電気鼠

そんな『ギョラン』に書かれた情報泥棒のひとつに、極めて侵入性の高い電気マウスがある。このような悪質な情報窃盗犯は数多く存在しますが、今回の犯行がさらに陰湿なのは、複数のOSをターゲットにしている点です。

2020年12月に発見されたDENUキャンペーンは、Goベースのクロスプラットフォームマルウェアが特徴で、Linux、macOS、Windowsの各バリアントは、多数の悪意ある機能を共有しています。

このマルウェアは、暗号通貨のウォレットを枯渇させることを究極の目的として、キーの記録、スクリーンショットの取得、ディスクからのファイルのアップロード、ファイルのダウンロード、コマンドの実行を行うことができます。

関連：暗号通貨ウォレットを狙うマルウェア「ElectroRAT」。

1年間も発見されなかったとされるこの大規模なキャンペーンは、より巧妙な戦術を含んでいた。

後者では、偽のウェブサイトや偽のソーシャルメディアアカウントを作成し、暗号通貨関連のトロイの木馬に感染したアプリケーションを3種類（Windows、Linux、macOS用にそれぞれ）作成し、Bitcoin Talkなどの暗号およびブロックチェーンのフォーラムで汚染されたアプリケーションを宣伝し、被害者をトロイの木馬のウェブページに誘い出しました。

ユーザーがアプリケーションをダウンロードして実行すると、GUIが開き、バックグラウンドでマルウェアが侵入します。

ロビン・フッド

この不吉なランサムウェアは、ボルチモア市のコンピュータシステムを麻痺させ、2019年のヘッドラインを飾っています。

Robinhoodの感染源となったサイバー犯罪者は、ファイルを解読するために76,000ドルを要求しています。**システムはほぼ1ヶ月間オフラインで使用できず、市は影響を受けたコンピュータからデータを回復するために当初460万ドルを費やしたと報告されています。

他の資料によると、減収による損失は最大で1,800万ドルに上った可能性があるという。

Robbinhoodランサムウェアは、もともとGoプログラミング言語で書かれており、被害者のデータを暗号化した後、破損したファイルのファイル名に.Robbinhood拡張子を付けます。そして、実行ファイルとテキストファイルがデスクトップ上に配置されます。テキストファイルは、攻撃者が要求する身代金です。

シーブルックシー

2020年、マルウェア運用者のSofiqiは、Goによって書かれたZebrocyの亜種を開発しました。

このウイルスは、Microsoft Word文書を装い、COVID-19フィッシングの誘い文句を利用して拡散します。ダウンローダーのように動作し、感染したホストのシステムからデータを収集し、このデータをコマンド＆コントロール・サーバーにアップロードするのです。

関連：「COVID-19」インターネット詐欺8選にご注意ください。

Zebrocyの武器庫はドロップイン、バックドア、ダウンローダーで構成されており、長年にわたって使用されてきました。しかし、そのGoのバリエーションが発見されたのは、2019年になってからでした。

国家的なサイバー犯罪グループによって開発され、以前は外国省庁や大使館などの**組織を標的としていました。

さらなるgolangマルウェアの登場

Goベースのマルウェアは一般的になってきており、脅威行為者のプログラミング言語として継続的に使用されています。複数のプラットフォームを標的とし、長期間にわたって検知されないことから、懸念される深刻な脅威となっています。

つまり、マルウェアに対する基本的な予防措置が必要であることを強調しておきたい。たとえ家族や友人からのメールであっても（すでに感染している可能性がある）、不審なリンクをクリックしたり、メールやウェブサイトの添付ファイルをダウンロードしないようにしましょう。