近年、企業ネットワークを狙ったサイバー攻撃の中でも「ローダー型マルウェア」が前兆として使われるケースが増えています。中でもMatanBuchus(マタンブカス)は、ランサムウェアの前段階として密かに動作し、攻撃者にとって極めて都合のよい「攻撃展開の踏み台」として知られています。
直接的にファイルを暗号化するわけではないため見過ごされがちですが、実際には被害が拡大する恐れがあり、放置するとランサムウェアによる暗号化・情報流出につながるリスクがあります。
そこで本記事では、MatanBuchusの特徴や攻撃の流れ、関連ランサムウェアとの関係、感染が疑われる際の初期対処の考え方を解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
MatanBuchusとは
MatanBuchus(マタンブカス)は、他のマルウェアを呼び込む「ローダー型マルウェア」の一種で、感染後にシステム情報を収集し、C2サーバーと通信したうえで攻撃者の指示に従い他のマルウェア(ランサムウェア・情報窃取ツールなど)を展開します。
2021年以降、マルウェア・アズ・ア・サービス(MaaS)の形態でサイバー犯罪者に広く提供され、米国の教育機関や欧州の先端技術企業を標的とした実被害が報告されています。
最新の「MatanBuchus 3.0」では、EDR(エンドポイント検知)を回避しながら、PowerShellやQuick Assistなどの正規ツールを悪用する高度なステルス機能が実装されており、企業システムへの潜入手段として利用されています。
関連ランサムウェアとその特徴
MatanBuchusは単体で脅威になるだけでなく、「他のマルウェアと連携する」ことによって被害を複合化させます。以下は特に連携の多い代表的なペイロードです。
| 名称 | 概要 |
|---|---|
| Black Basta | 組織を狙うランサムウェア。暗号化とリークを併用する二重脅迫型。MatanBuchusとの連携が多数確認されています。 |
| Qakbot | 情報搾取型マルウェア。ログイン情報・ブラウザデータを盗み出し、Cobalt Strikeやランサムウェア展開の足掛かりとなります。 |
| DanaBot | 金融情報を狙うトロイの木馬型マルウェア。感染端末へのランサム展開も報告されています。 |
| Cobalt Strike | Red Team用の合法ツールですが、攻撃者が侵入維持・権限昇格・攻撃展開に悪用。MatanBuchusが導入することが多いです。 |
MatanBuchusはランサムウェア攻撃の前段階として動作するため、放置すると二次被害につながるリスクがあります。感染の疑いがある場合は、できるだけ早く調査を進めることが重要です。
出典:PCrisk
MatanBuchus 3.0の特徴と新たな脅威
2025年7月、セキュリティ企業Morphisecが「MatanBuchus 3.0」の存在を確認しました。これは、2021年に登場したMatanBuchusを大幅に強化した新バージョンであり、企業や官公庁など高価値ターゲットを標的とした高度な攻撃に使用されています。
特に注目すべきは、Microsoft Teams通話を悪用したソーシャルエンジニアリングの事例です。攻撃者は外部からTeamsを使ってITサポートを装い、従業員にQuick Assist(Windows標準の遠隔サポート機能)を起動させ、PowerShellコマンドの実行を促します。
この操作によってZIPファイルがダウンロードされ、内部に含まれた改ざんNotepad++アップデータとDLLにより、MatanBuchus 3.0が展開されます。感染後、MatanBuchusは端末のプロセス情報、ユーザー名やドメイン、OSビルド情報、実行中のEDR/AV製品、管理者権限の有無などを取得します。
これらの情報をもとに、環境に最適化された攻撃をC2サーバーから受け取り、感染を拡大します。通信はHTTPまたはDNS経由で暗号化されており、Skype風のUser-Agentを用いることで検知を回避します。
バージョン3.0では以下の機能強化が確認されています。
- メモリ内実行(In-Memory Execution)によりディスク痕跡を残さずに動作
- Salsa20による通信の暗号化・難読化(旧RC4から変更)
- WQLクエリを通じてセキュリティ構成を取得
- CMD・PowerShellリバースシェルを含む多様なペイロードの実行
- msiexecやprocess hollowingによる正規プロセスの悪用
- ロシア語・仮想環境の検知による自己終了(アンチサンドボックス機能)
- Windows APIの代わりにsyscallを使用し、EDRフックをバイパス
- API呼び出しの難読化にMurmurHash3を利用し、リバースエンジニアリングを困難化
さらに、regsvr32やCOM操作によるスケジュールタスク作成、シリアルIDに基づいたファイル名の動的変更など、「Living off the Land」技術が用いられています。これにより、外部ツールを用いずにWindows内部の正規機能のみで持続化・検知回避が可能となっています。
このMaaS(Malware-as-a-Service)ローダーは高額で取引されており、HTTP版は月額1万ドル、DNSトンネリング版は1万5000ドルで販売されています。
ランサムウェアの被害を解明するフォレンジック調査の必要性
ランサムウェア被害からの復旧は、バックアップによるデータ復元だけでは不十分です。「なぜ・どこから・どのように侵入されたのか」という根本原因を明らかにしなければ、再発のリスクを抱えたままとなります。その原因究明と対策立案に不可欠なのが、フォレンジック調査です。
フォレンジック調査でわかること
フォレンジック調査とは、システムや端末に残された操作記録・ログ・通信履歴などの客観的な証拠を収集・解析し、攻撃の全体像を明らかにする専門的な調査です。
フォレンジック調査では、ランサムウェアによって暗号化や削除が行われたシステムを対象に、操作履歴や通信ログを解析し、被害の経緯を科学的に特定します。これにより、攻撃の開始地点や被害範囲、データ消失の原因を客観的に明らかにできます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
ランサムウェアのように、削除動作やタイマーを伴うタイプでは、次のような調査が有効です。
- 侵入経路の特定:感染の起点となったメール、偽サイト、ソフトウェア更新などを解析し、端末への侵入経路を明確にします。
- 暗号化・削除の発生源解析:どのプロセスがファイル操作を行ったかを特定し、暗号化や削除の実行タイミングを再現します。
- 影響範囲の確認:暗号化や削除が発生したファイル、フォルダ、外部ストレージの範囲を洗い出し、復旧可能性を評価します。
- 残存マルウェアの検証:不正プログラムやバックドアが残っていないかを調査します。
- 法的証拠の保全:通信履歴や操作ログを改ざんされない形式で保存し、警察や監督官庁への報告資料として活用します。
上記情報は、原因説明や再発防止策の策定、顧客や監督機関への報告に必要不可欠です。
>>おすすめのフォレンジック調査会社一覧|選び方・依頼の流れを解説
自力調査が招く「証拠汚染」のリスク
ランサムウェア被害が発生した環境は、法的には「サイバー事件現場」にあたります。社内担当者が善意で実施する再起動やウイルススキャン、不要ファイル削除といった操作が、証拠データの上書きや削除を引き起こすおそれがあります。
証拠が損なわれると、感染経路の特定や被害範囲の裏付けが不可能になり、警察の捜査や損害賠償の立証にも支障が出ます。初期対応では、電源の強制遮断やスキャン実行を避け、専門調査会社に相談することが推奨されます。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
Jigsawのようにファイルを削除するタイプのランサムウェアでは、初期の対応遅れが被害拡大につながります。調査を迅速に実施するためにも、感染が疑われる段階でフォレンジック専門会社へ相談することが重要です。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃、ランサムウェア感染といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
まとめ
MatanBuchusは、ランサムウェアなどの攻撃を呼び込む「ローダー型マルウェア」です。特に最新版の3.0では、Teamsの悪用やEDR回避などの高度な手口により、従来の対策では発見が難しくなっています。
感染の兆候が不明瞭でも、疑わしいと感じた段階で調査を始めることが重要です。証拠の保全や再発防止のためにも、専門調査会社への早期相談をおすすめします。