Gootloaderとは何か?
GootLoader は、主に Initial Access(初期アクセス)に使われるローダー型マルウェア です。
特徴は、検索結果を悪用する SEOポイズニング により、被害者を改ざんサイトや偽サイトへ誘導し、契約書・NDA・業務文書などに見せかけたファイルをダウンロードさせる点です。
典型的には、ユーザーが偽の文書ファイルを開くと、難読化された JavaScript / JScript が実行され、そこから追加のマルウェアやC2用ペイロードが展開されます。
つまり一言でいうと、
GootLoaderは、検索結果と偽文書を悪用して感染させ、後続の攻撃につなげる初期アクセス用マルウェア です。
最近の事例だと、GootLoaderは主に SEOポイズニング経由の初期アクセスに使われています。
SEOポイズニングとは、攻撃者が検索エンジンの検索結果を悪用し、悪性サイトや改ざんされた正規サイトを上位表示させる手法です。ユーザーは不審なメールを開くのではなく、自分で検索してアクセスしているため警戒心が下がりやすく、GootLoaderのようなマルウェア配布と相性がよい攻撃経路です。
最近の被害でいうと「オーストラリアのベンガル猫検索キャンペーン」というものがありました。
①オーストラリアのベンガル猫検索キャンペーン
2024年にSophosが報告した事例では、「Are Bengal Cats legal in Australia?」 のような検索をしたユーザーが、SEOポイズニングされたサイトに誘導され、GootLoaderを配布されるキャンペーンが確認されています。
「Are Bengal Cats legal in Australia?」は、翻訳をするとオーストラリアではベンガル猫は飼育が許可されていますか?という意味になるよ。
攻撃の流れはざっくり下記の流れになります。
Google検索
↓
改ざん・悪性サイトへ誘導
↓
ベンガル猫関連の文書に見せかけたZIPをダウンロード
↓
難読化JavaScriptを実行
↓
GootLoader感染
↓
後続ペイロード展開
これはかなり特殊に見えますが、重要なのは「猫」ではなく、ニッチな検索語を狙って検索結果を汚染し、ユーザー自身にファイルを取りに来させる という点です。
②偽NDA・契約書テンプレート配布
最近のGootLoaderは、NDA、契約書、法務文書、業務テンプレート のような文書を探しているユーザーも狙っています。
TechRadarは、2025年にGootLoaderが偽NDA文書を使ったキャンペーンで再登場し、SEOポイズニングや悪性広告を使ってユーザーを誘導したと報じています。
業務中などに下記のような検索をした人を狙う形です。
NDA template(NDAテンプレート)
contract agreement template(契約書テンプレート)
legal document sample(法的文書のサンプル)
この手法で特に厄介なのは、被害者が「攻撃メールを受け取る」のではなく、自分から業務上必要な文書を検索し、ダウンロードしてしまうことだね。NDAや契約書テンプレートはビジネス上よく検索されるため、ユーザーの警戒心が下がりやすく、SEOポイズニングとの相性が非常に高い攻撃手法だね。恐ろしい
③Cobalt Strikeやランサムウェア前段
GootLoader自体は最終目的ではなく、後続攻撃の入口として使われます。
Red Canaryは、GootLoaderを Cobalt Strikeへの企業侵入口として使われるJScriptベースのマルウェア と説明しています。
また、2025年の報告では、GootLoader感染が GootBot、Initial Access Broker、ランサムウェア展開 につながるケースも言及されています。KPMGのアドバイザリでは、GootLoaderはStorm-0494に関連し、Vanilla Tempestによるランサムウェア展開につながることがあると説明されています。
端的に言うと
最近のGootLoaderは、
Google検索や悪性広告でユーザーを誘導し、偽の業務文書やニッチな情報ファイルをダウンロードさせ、そこからCobalt Strike、GootBot、情報窃取、ランサムウェア前段につなげるために使われています。
まとめ
GootLoaderのようなSEOポイズニング型のInitial Accessに対しては、「不審なメールを開かない」という教育だけでは不十分です。ユーザーが自ら検索してアクセスする経路を悪用するため、Webアクセス、ダウンロードファイル、スクリプト実行、クラウドストレージ利用、端末上の振る舞いを組み合わせて見る必要があります。
具体的には、以下のような観点です。
| 観点 | 防御側のポイント |
|---|---|
| Webアクセス | 不審な新規ドメイン、改ざんサイト、カテゴリ不明サイトへのアクセスを監視 |
| ダウンロード | ZIP、JS、JSE、WSF、LNK、ISOなどの取得を注意深く見る |
| 実行制御 | ユーザー領域からのスクリプト実行を制限する |
| EDR | JavaScript/JScriptからPowerShellやcmdが起動する挙動を見る |
| DNS/Proxy | SEOポイズニング経由の不審ドメインアクセスを検知する |
| ユーザー教育 | 「検索結果の上位=安全」ではないことを周知する |
| ログ相関 | ブラウザアクセス、ZIP展開、スクリプト実行、外部通信を一連のチェーンで見る |
今回紹介した例だと特に、「検索結果の上位=安全」という概念は持たない方がいいね。
トリプルAでは、サイバー攻撃の高度化に対応するため、脆弱性診断、ペネトレーションテスト、レッドチーム演習、EDR/XDR導入支援、SOC運用支援など、さまざまなサイバーセキュリティサービスやソリューションを提供しています。
GootLoaderのようなInitial Access手法への備えや、自社環境における検知・対応力の確認をご検討の方は、ぜひお気軽にご相談ください。
