こんにちは、GMOイエラエSOCの テオ と、 くまさか です。

2026年4月に、フランスのランス(Reims) で開催されたセキュリティカンファレンス Botconf 2026 にて、Sprint CFPとして登壇してきました。本ブログでは、イベントに関する紹介や発表内容を簡単に紹介します。

Botconf とは

Botconf とは、”The Botnet & Malware Ecosystems Fighting Conference” の略称で、ボットネットやマルウェアのエコシステムに対抗するための知見を共有する欧州最大級のセキュリティ国際カンファレンスです。
カンファレンスには、マルウェア解析者はもちろんのこと、法執行機関や学術機関、CSIRT、脅威分析チームなど、多くのプロフェッショナルが世界30カ国以上から集まります。

開催場所は毎回異なり、2026年で第13回となる今回は、フランス北東部の都市ランス(Reims) で開催されました。

Black Hat や DEF CONのようなサイバーセキュリティの様々な分野を扱う大型カンファレンスと異なる点として、マルウェア解析やボットネットの対策に主軸をおいた少し小規模なイベントという点があります。
イベント自体は小規模ですが、参加者や発表内容はもちろんのこと参加者に至るまで、マルウェア解析に関し最前線で活躍されている方が多く参加されており、マルウェア解析に関し、世界最高峰に位置するカンファレンスとして知られています。

また、多くの発表には、TLP(Traffic Light Protocol) が設定されており、この場限りのかなり濃い話や生々しいテイクダウン事例がシェアされます。
今年の開催はこちらのタイムテーブルより確認できます。

我々は、GPUGate: Repo Squatting and OpenCL Anti-Analysis to Deliver HijackLoader というタイトルで発表しました。
昨年下旬よりGMOイエラエSOCにて観測したマルウェアのデリバリー方法や仮想環境での解析に対する回避実装について詳細に共有しました。

Sprint CFP での採択

今回の発表は通常枠ではなく、Sprint CFP 枠にて採択されました。
Sprint CFP とは、最新の研究結果や新たな発見に関する最新情報に特化した枠で、通常の締切とは別に設けられる特化枠です。2026年は、2枠のみ募集されました。

発表内容で取り上げたGPU Gateについては、GMOイエラエSOCでの観測後、2025年9月 GitHub Desktop を模したマルウェアダウンロードの誘導に関する注意喚起　として、注意喚起を発信していました。
そして、その後、2026年1月にJSAC 2026 でのLTや、マルウェア解析詳細ブログである Revisiting GPUGate: Repo Squatting and OpenCL Deception to Deliver HijackLoader も公開し、観測や調査を継続していました。

今回の登壇内容には、上記ブログで紹介しているマルウェアのバージョン2 に関するレポートを含め、Repo Squatting以外の配布方法についても注意喚起も含め、準備を行いました。
バージョン2の解析結果やバージョン1との違い、そして継続する配布経路についてのIoCや対策を提示できるという点が評価され、Sprint CFPとして採択されたと捉えています。

登壇内容の紹介

発表資料やIoCの情報は、Botconf 2026の以下ページよりダウンロード可能です。
https://cfp.botconf.org/botconf-2026/talk/HKUTDC

発表当日は、我々が最初に攻撃を観測した9月を起点に、マルウェア配布テクニックであるRepo Squatting について、GitHubの仕様を含め技術ロジックを解説し、9月以降のマルウェア解析回避GPUGateの変化や配布方法の変化についてマルウェア解析の詳細な結果とともに紹介しました。さらに本発表では、継続的な観測によるマルウェア自体や環境に関する変化にも注目し、注意喚起とSOC内で整理できた情報の共有に努めました。

観点	9月時点	変化
主な配布チャネル	GitHub の偽リポジトリ、検索広告	Docker イメージ経由の配布が追加
ローダ実装	OpenCL による鍵復号処理の見せかけとセカンドペイロードの外部取得	埋め込み方ペイロードによるOpenCLを用いた複合処理
狙われる対象	開発者・IT エンジニアの端末	CI/CD を含む開発インフラも射程になったと考えらる

前述の通り、Botconf では業界トップランナーの方々が多く参加されているため、発表後の質問だけではなく、ネットワーキングランチや懇親会を通じて多くの質問もいただきました。

イベント参加者の特性もあり、特に、本発表のメイン項目である解析回避技術部分に関して興味をもたれている方が多かった印象です。我々の解析では、解析専用のGPUがある物理PCの準備を行なったことや、そのような環境に対する自動化や初期化のコストの高さについても会話が広がりました。
今回は、お客様へできる限り早く防御を提供するために、マルウェア解析していく中で判明した事実を元に、マルウェアが確実に動作するであろうマシンを調達していきながら解析を行いました。
例えば、Intel VT-d を活用し、物理GPUをマウントした仮想解析環境による解析可否についても検証を行いたかったのですが、今回の発表までにはそのような準備が難しかった話などで盛り上がりました。

懇親会の様子

今回会場となった、フランスのランスは、シャンパーニュ地方として有名です。
懇親会の会場も、シャンパンを貯蔵する石造りのカーヴ（地下蔵）を活用した印象的な階段が続いていました。

壁一面に並ぶ熟成中のボトルや、長い歴史を感じさせる地下通路の演出は、 テクニカルなカンファレンスの合間の気分転換として最高の舞台でした。

最後に

GMOイエラエSOCは、2022年の立ち上げからサービスの準備に加え、お客様を安全にするためのSOC運用に必要なリサーチにも力を入れており、今回、GMOイエラエSOCとしては初の海外カンファレンスでの登壇を実現することができました。加えて、Sprint CFPに採択されたという点も、リサーチ活動として世界に貢献できるレベルに達したように感じ、非常に嬉しく思います。

また、GPUGate / Repo Squattingのキャンペーンやその後や、それ以外についても継続的に調査し、新たな観測があり次第、情報を発信していく予定です。
まずは、ぜひ発表資料巻末のIoCを用いたセキュリティ運用を検討の一助になれれば幸いです。

さて、本内容は、2026/05/16 (土) に開催されるBside Tokyo でも「GPUGate: Repo SquattingとOpenCL解析回避によるHijackLoaderの配送」として登壇予定です。
ご参加いただく皆様と当日お話しできることを楽しみにしています。

最後になりますが、Botconf 運営・現地でお会いした研究者の皆さま、 そして日本からサポートいただいた社内外の方々に、 この場を借りて感謝申し上げます。