Linuxのクラウドワークロードは攻撃者の標的になりつつあり、新たに発見されたVoidLinkと呼ばれるマルウェアフレームワークは、こうした脅威がどれほど高度化しているかを如実に示しています。
研究者によると、このツールはクラウドおよびコンテナ環境でのステルス性と永続性を目的に設計されており、目立つ手口に頼ることなく、侵害後にオペレーターへ広範な制御権を与えます。
「私たちが単なるLinuxルートキットの一種にすぎないと思っていたものを予期せず分析したところ、2025年12月時点で活発に開発が進められていた、VoidLinkと呼ばれる未確認の本格的なC2フレームワークであることが判明しました」と、Check Pointの研究者はeSecurityPlanetへのメールで述べました。
さらに彼らは、「VoidLinkのステルス性、堅牢な安定性、プラグインの利用可能性、そしてクラウドを意識した機能から、このフレームワークは長期的なアクセス、場合によっては諜報活動を目的としていると考えています」と付け加えました。
VoidLinkとは何か、いつ出現したのか
VoidLinkは2025年12月、研究者がこれまで未知だったLinuxマルウェアのサンプルの小規模なクラスターを発見したことで初めて表面化しました。
複数のバイナリにはデバッグシンボルや開発時のアーティファクトが残っており、このフレームワークがすでに大規模に広く展開されているというより、現在も活発に開発中である可能性を示しています。
この初期段階であっても、VoidLinkはステルス性、長期的なアクセス、監視を目的として構築されているように見えます。これは、短期的な攻撃ではなく永続性に重点を置く高度なオペレーターに典型的に見られるツール類です。
VoidLinkが特に懸念されるのは、クラウドおよび開発者エコシステムに明確に重点を置いている点です。
研究者は、クラウドおよびGitの認証情報を窃取するモジュールを発見しており、インフラ、CI/CDパイプライン、本番システムへのアクセスを得られる可能性があります。
このアクセスにより、諜報活動やサプライチェーン侵害が可能になり、攻撃者が上流のコードやビルドを密かに改ざんできる恐れがあります。
VoidLinkのモジュール型マルウェアアーキテクチャ
VoidLinkは、モジュール式でクラウドファーストな設計が際立っています。
Zigで書かれた中核インプラントは、安定性、コマンド&コントロール(C2)通信、タスク実行に注力しており、追加機能はメモリ内プラグインシステムを通じて提供されます。
このアプローチにより、オペレーターは偵察、認証情報の窃取、永続化、ラテラルムーブメント、アンチフォレンジックなど、必要な機能だけを選択的にロードできます。メインのマルウェアコンポーネントを常に書き換える必要はありません。
この柔軟性は、防御側が脅威をフィンガープリントしにくくする要因にもなります。どのプラグインが展開されているかによって、2つの感染が異なるものに見える可能性があるためです。
VoidLinkは環境認識能力も非常に高く、この適応性こそが検知を難しくしている大きな理由です。
主要なクラウドプロバイダーを認識し、DockerコンテナやKubernetesポッド内で動作しているかどうかを判定したうえで、通常のクラウドワークロードにより溶け込むよう戦術を切り替えられます。
一度きりの派手な手法に頼るのではなく、このフレームワークは忍耐強い侵入者のように振る舞うよう設計されているようです。周囲のインフラに適合する侵害後手法を選び、直ちにアラートを引き起こしかねない行動を避けます。
VoidLinkのステルス性と永続化の手口
ステルス性はフレームワーク設計に深く組み込まれています。VoidLinkはインストール済みのセキュリティツールを列挙し、カーネルのハードニング対策を特定したうえで、ホストがどれほど監視されているかに応じて動作速度や挙動を調整できます。
計測・監視が強化された環境では、検知の可能性を下げるためにモジュールが動作を遅らせたり、より慎重に振る舞ったりする場合があります。
研究者はまた、実行時の整合性チェック、暗号化されたコード領域、改ざんが検知された場合の自己削除機能など、複数のアンチ解析機能も指摘しており、これらはリバースエンジニアリングやインシデント対応を複雑化させます。
VoidLinkには、プロセス、ファイル、ネットワーク接続を隠して活動を秘匿することを目的としたルートキット風の手法も含まれています。
Linuxカーネルのバージョンやシステム構成に応じて、ユーザーモードの回避手法、またはより深いカーネルレベルのアプローチのいずれかに依存でき、より堅牢にハードニングされた環境でも永続化を可能にします。
これらの設計上の選択により、VoidLinkは短期的な破壊よりも、静かで長期的な制御のために構築されたフレームワークとなっています。
より強固なクラウドワークロード防御の構築
クラウドネイティブなLinux脅威への防御には、従来のエンドポイント制御だけでは不十分です。インフラ、アイデンティティ、実行時の挙動全体にわたる強力なガードレールと可視性が必要です。
- クラウドインスタンスのメタデータサービスへのアクセスを厳格化し、照会できる主体を制限し、異常なメタデータ要求を監視する。
- 最小権限を強制し、特権ワークロードをブロックし、seccompやAppArmorなどの制御を適用することで、Kubernetesとコンテナセキュリティを強化する。
- 短命トークンを使用して認証情報を最小化・ローテーションし、サービスアカウント権限を制限し、シークレットをコードや環境変数ではなく承認済みのボールトに保管する。
- 永続化の挙動、不審な認証情報アクセス、異常なプロセスまたはコンテナの活動を監視することで、Linuxホストとクラウドワークロード全体の可視性を拡大する。
- エグレス経路を制限して外向き通信を制御し、可能な範囲でDNSやICMPを制限し、トラフィックのベースラインを作成して秘匿されたC2通信を検知する。
- ホスト外ログを集約してログとフォレンジック耐性を強化し、重要な経路でファイル整合性監視を有効化し、ネットワークをセグメント化してラテラルムーブメントを抑制する。
これらの制御を組み合わせることで、認証情報の露出を抑え、実行時防御を強化し、侵害後の活動が拡大する前に検知することで、チームはクラウドネイティブのリスクを低減できます。
クラウドセキュリティは自動的に確保されるものではない
VoidLinkは、クラウド環境が本質的に安全というわけではないことを改めて思い起こさせます。クラウドは単に「異なる」だけであり、攻撃者は多くの防御策よりも速いペースで適応しています。
Linuxワークロード、コンテナ、CI/CDシステムが日々の運用の中核であり続ける中、セキュリティチームは強力なアイデンティティ制御、ワークロードのハードニング、一貫した実行時可視性を優先すべきです。
組織は、認証情報の露出を抑え、高リスクなクラウドサービスへのアクセスを厳格化し、明白なマルウェアイベントだけでなく永続化の微妙な兆候を監視する体制を改善することで、VoidLinkのような脅威により適切に対処できるようになります。
ゼロトラストは、信頼境界を縮小し、デフォルトでアクセスを制限することで、このアプローチを強化します。
