なぜ攻撃者はMSBuildが大好きなのか？ 最新の攻撃手法を解説

MSBuildを悪用した新たな攻撃手法が登場した。このツールを悪用すると、ディスク上に明確なマルウェアを残さず任意コードを実行できるようになるという。攻撃手法を詳述し、取るべき対策を解説する。

[＠IT]

　韓国のセキュリティベンダーAhnLabは2026年4月10日（現地時間）、Microsoftのオープンソースビルドエンジン「MSBuild」を悪用した攻撃手法に関する分析結果を公表した。

　正規の開発ツールを使うことでセキュリティ製品の検知を回避する「LOLBins」（Living off the Land Binaries）の一例として、MSBuildの特性が攻撃に利用されている実態が判明している。

なぜ攻撃者はMSBuildが大好きなのか？　攻撃手法を徹底解説

　攻撃者はマルウェア本体を配布せず、OSに標準搭載されたツールを悪用する手法を多用している。こうした手法は従来のシグネチャベース検知を回避しやすく、侵入後の活動を目立たせない特徴を持つ。MSBuildはMicrosoft署名付きの正規ツールであり、XML形式のプロジェクトファイルを通じてC#コードのビルドや実行が可能だ。このツールを悪用すると、ディスク上に明確なマルウェアを残さず任意コードを実行できる。

　AhnLabは、MSBuildが攻撃者に好まれる理由として、プロジェクトファイル内にC#コードを直接埋め込み実行できる点、ファイル操作や通信など多機能を備える拡張性、正規署名による信頼性の高さを挙げた。これにより、コード署名の検証を回避しつつ柔軟な攻撃が可能になる。

　2025年1月に公開された手法を検証した結果、「Windows11」の「Microsoft Defender」のリアルタイム監視が有効な環境でも、MSBuildを使ったリバースシェル接続が検知されない事例を確認した。攻撃においてプロジェクトファイルとC#ソースを用意し、シェルコードを実行する構成が取られる。MSBuildにプロジェクトファイルを指定して実行すると、攻撃者のサーバと通信が確立される。

　2026年2月に報告された実際の攻撃事例では、MSBuildがダウンローダとして機能する手口が確認された。この攻撃はフィッシングメールから始まり、会議案内などを装った圧縮ファイルが添付される。内部には正規署名を持つ実行ファイルとプロジェクトファイルが含まれており、実行ファイルはMSBuildを偽装している。

　利用者が実行ファイルを開くと、同一ディレクトリ内のプロジェクトファイルが自動的に読み込まれ、攻撃処理が開始される。プロジェクトファイルには外部サーバと通信し追加ファイルを取得するスクリプトが含まれる。取得されたファイルは一時フォルダなどにランダム名で保存され、解析を困難にする。

　その後、ダウンロードされた実行ファイルが起動し、同一ディレクトリのDLLを読み込む挙動を利用して悪意あるDLLがメモリ上で実行される。この一連の流れは、正規ツールと利用者操作が組み合わさるため、セキュリティ製品や利用者双方から通常動作に見えやすい。

　AhnLabは「このような攻撃に対抗するには単一の指標では不十分であり、挙動と文脈に基づく多層的な検知が必要だ」と指摘する。具体的に開発環境以外でのMSBuild実行や、PowerShellなど子プロセス生成の監視、プロジェクトファイルの実行状況の可視化が重要となる。またネットワーク面では外部通信や短時間での複数ファイル取得、ランダムなファイル名生成などの挙動を分析する必要がある。正規実行ファイルが不正DLLを読み込むパターンも重要な検知ポイントとなる。

　AhnLabは、正規プロセスであっても安全とは限らないとの認識に立ち、プロセス間関係や実行状況、通信挙動を総合的に分析する体制の強化を求めた。MSBuildを含むLOLBinsの悪用は今後も多様化するとみられ、継続的な監視と対策が不可欠であると結論付けている。