Theo Webb

GMOサイバーセキュリティ by イエラエ株式会社のセキュリティエンジニアであり、マルウェアの解析・研究、および自社セキュリティ製品のソフトウェア開発を専門としています。

2025年2月にGMOイエラエに入社しました。それ以前はテックスタートアップの創業者として活動する傍ら、日本の大学を卒業し、2023年からサイバーセキュリティを独学で学びました。特にリバースエンジニアリング、システムの内部構造、および低レイヤプログラミングに関心を持っています。JSAC 2026ではライトニングトークに登壇したほか、GitHubではC言語に関連するプロジェクトを随時公開しています。

GPUGate: Repo SquattingとOpenCL解析回避によるHijackLoaderの配送

2025年9月上旬、GitHub Desktopの公式リポジトリのリポジトリネットワーク下に悪意のあるURLを潜伏させ、正規のインストーラーを装った多段ローダーを配布する新しいマルウェアキャンペーンが観測されました。 この「GPUGate」と呼ばれるローダーは、OpenCLというGPUベースのAPIを巧みに利用することで、サンドボックスやVM（仮想マシン）による解析を回避し、さらに真の復号キーを解析者から隠蔽します。

この手法により、解析者は物理GPUを搭載した実機での解析を余儀なくされましたが、私はその環境下でローダーをデバッグし、内部構造を解明して正しい復号キーを特定することに成功しました。

本講演では、このキャンペーンで実際に観測された手法を用い、OpenCLの仕組みや、それがどのようにサンドボックス回避や静的復号の妨害に悪用されるのかを詳しく解説します。 聴講者は、これらのアンチ解析手法の特定方法と回避策を学び、OpenCLを悪用するマルウェアについてより深い理解を得ることができます。

また、私たちが「Repo Squatting」と名付けた初期配送手法についての調査結果も共有します。 これはGitHubにおけるフォークネットワークにおけるコミットの可視性の仕様を悪用したもので、攻撃者はコミットハッシュを通じて公式リポジトリの名前空間内に自身のコードを潜伏させることが可能です。

講演では、同様のプラットフォームが受ける影響や、2025年12月から2026年1月の活動期間中に攻撃者が使用した追加の配送手法についても紹介します。