ある瞬間がある。たいていは夜で、好奇心が慎重さを上回る。開設されたばかりのリポジトリ、星は少ないのにスコアが非常に高いエクスプロイト 、そして本物らしく見える程度にはよく書かれたREADME。
そこでこの物語は形を成す。Webratは単にマシンを感染させるだけではない。未熟な野心、「今すぐ試したい」という焦り、そして「重要な技術者コミュニティの一員になりたい」という欲求を捉える。もはや近道を求めるゲーマーではなく、駆け出しの学生や研究者が標的だ。自分のシステム上でPoCを実行することが通過儀礼だと信じている人たちである。
罠が機能するのは、正しい言語で語り、数値や略語、細部を使うからだ。そして、セキュリティの世界でゲームの勝利以上に価値のあるもの――誰よりも先に理解すること――を約束するからでもある。
当初はゲーマーを欺くために設計された巧妙なマルウェアキャンペーンが、サイバーセキュリティ分野の志望者にとって危険な罠へと変貌した。Kaspersky Labsの新しいレポートによれば、Webratマルウェアの作者は戦略を変更し、経験の浅い学生や研究者を標的に、高プロファイルな脆弱性向けのエクスプロイト proof-of-concept(PoC)に見せかけてバックドアを偽装しているという。
「9月に攻撃者はネットワークを拡大することを決めた。ゲーマーや海賊版ソフトのユーザーに加え、現在はサイバーセキュリティ分野の経験の浅い専門家や学生も標的にしている」と、レポートは警告している。
2025年10月に激化したこのキャンペーンは、セキュリティコミュニティの好奇心と切迫感を悪用し、公に悪用されていないことも多い重大な脆弱性に対して「動作する」コードを提供するとしている。
餌は信頼を生むよう綿密に設計されていた。「攻撃者は、動作するエクスプロイトが存在しない脆弱性にも、すでに存在する脆弱性にも罠を仕掛けていた」。さらに「説明文に脆弱性に関する詳細情報を盛り込む」ことで、経験の浅い目にもリポジトリが正当なものに見えるようにしていた。
Webratは2025年初頭に初めて確認され、一般ユーザーへと網を広げた。当初、攻撃者はマルウェアを「Rust、Counter-Strike、Robloxといった人気ゲームのチート」や、「クラック版ソフト」の形で隠していた。しかし9月以降、より技術的な獲物を狙うために戦術を変更した。
この作戦を実行するため、攻撃者は悪意あるGitHubリポジトリを作成し、CVSSスコアの高い脆弱性向けの偽エクスプロイトを多数配置した。例として、CVE-2025-59295(CVSS 8.8)、CVE-2025-10294(CVSS 9.8)、そしてCVE-2025-59230(CVSS 7.8)が挙げられる。
洗練された餌にもかかわらず、マルウェア自体は変わらない。基本的なバックドアである。攻撃の成功は、被害者が未検証のコードを実行する意思を持つかどうかに完全に依存している。
「これらの攻撃は、基本的なセキュリティ手順を回避して、エクスプロイトを自分のコンピュータ上で直接実行したがるユーザーを明確に狙っている」と、レポートは結論づけている。
セキュリティの専門家は研究者に対し、新しいエクスプロイトは常に隔離された仮想環境で解析し、絶対的な確信がない限りアンチウイルスソフトに除外ルールを追加しないよう推奨している。
このキャンペーンの強みは、平凡で、ほとんど拍子抜けするほどのマルウェアそのものにあるのではない。
強みは文脈にある。重大な脆弱性が交換価値を持つ通貨となり、取り残される不安が基本的な手順を飛ばさせるようになった、この歴史的な瞬間に。
Webratは、拙速な実行、隔離されていないマシン、そして「ほんの一瞬だけ」無効化されたアンチウイルスの上で繁殖する。これは扉をこじ開ける攻撃ではない。すでに開いている扉を見つける攻撃だ。熟練のプロは欺瞞を見抜く一方で、本当の被害者は学びの途上にいる人、胆力を能力と取り違える人である。学習と軽率さの間にある脆い空間で、バックドアは音も立てずに入り込む。