中国発のLinuxマルウェア「VoidLink」、クラウド環境に深刻な脅威

中国系Linuxマルウェアがクラウド環境の新たな脅威として浮上

2026年1月、セキュリティ専門家は、中国と関連が指摘されるLinux向けマルウェアフレームワーク「VoidLink」を確認した。
同フレームワークは高度にモジュール化された構成を採用しており、30種類以上のプラグインを組み合わせて動作する点が特徴とされる。

VoidLinkは、クラウドおよびコンテナ環境における持続性（復元性）を備えており、侵入後も環境内に長期間とどまる能力を有するとみられている。
この脅威は**Check Point Research**によって確認されており、悪性コードの技術的完成度の高さや、短期間で機能が拡張されている点が注目されている。

VoidLinkのモジュール構成とAPI、適応型ステルス機能

VoidLinkは、Zig言語で開発されたマルウェアのコマンド＆コントロール（C2）フレームワークで、カスタムローダーやインプラント、ルートキットに加え、複数のモジュール型プラグインで構成されている。
そのアーキテクチャは、ウェブベースの中央管理パネルを通じて、オペレーターが感染環境を包括的に制御できるよう設計されている。

特に注目されるのが、拡張性を備えたカスタムプラグインAPIだ。このAPIは、既存のレッドチーム向け攻撃ツールで用いられるBeacon Object Files（BOF）の仕組みを参考に設計されており、Linuxベースのクラウドおよびコンテナ環境内で、目立たず動作する機能を提供する。
これにより、VoidLinkは環境に適応しながらステルス性を維持し、長期的な潜伏を可能にしている。

主要クラウド環境を識別可能な検知機能

VoidLinkは、AWS、Google Cloud、**Microsoft Azureといった主要クラウドプロバイダー上で稼働する感染システムを識別できる機能を備えている。
この検知機能は、Alibaba CloudやTencent Cloud**にも対応しており、対応範囲が拡大している点が確認されている。

さらに、DigitalOcean、Vultr、**Huawei関連環境に対する検出機能の追加計画も示唆されている。
VoidLinkはハイパーバイザー情報を列挙できるほか、DockerコンテナやKubernetes**ポッドの使用状況を把握するなど、クラウドおよびコンテナ環境に関する包括的な情報収集が可能とされる。

こうした機能は、高度な侵害活動の実行や、サプライチェーンを標的とした攻撃に発展する潜在的なリスクを孕んでいる。

クラウド環境防御の強化が求められる局面

こうした動きと並行し、**Concentric AIは、米国政府関連機関向けに設計された特殊なクラウド環境であるAWS GovCloud (US)**に対応したプライベートスキャンマネージャーを公開した。
この取り組みは、管理外に置かれがちな機密データを扱う組織が、環境要件に即したセキュリティ運用を行えるよう支援することを目的としている。

AWS GovCloud（US）は、厳格な連邦政府のセキュリティ基準を満たす設計となっており、顧客データが米国市民によって運用される分離環境内に保持される点が特徴だ。
一方で、VoidLinkのような高度なLinuxマルウェアの登場は、クラウドやコンテナ環境を前提とした攻撃が拡大している現実を示している。

セキュリティ担当者には、Linuxおよびクラウド基盤に対する予防的な防御策を強化し、こうした新たな脅威に備える姿勢が改めて求められている。