ベトナム語話者のサイバー犯罪者グループが、Pythonベースの情報窃取マルウェア「PXA Stealer」を使用した大規模攻撃を実行している。2024年後半に初めて確認されたこの脅威は、2025年8月4日時点で62カ国の4,000人以上が感染している。被害が最も深刻な国は韓国、米国、オランダ、ハンガリー、オーストリアである。
犯罪者は20万件以上のパスワード、数百件のクレジットカード記録、400万個以上のブラウザクッキーを窃取し、Telegramベースのマーケットプレイス「Sherlock」で販売している。SentinelLabsとBeazley Securityが2025年8月4日に発表した報告書によると、攻撃者は2025年4月と7月に大規模な攻撃波を実行した。
攻撃手法として、Haihaisoft PDF ReaderやMicrosoft Word 2013などの正規の署名済みソフトウェアを悪用したDLLサイドローディング技術を採用している。PXA StealerはChrome、Firefox等の約40のブラウザから情報を盗取し、Crypto.com、ExodusWeb3、Magic Eden Walletなど30以上の暗号通貨ウォレット拡張機能もターゲットとする。
From: 
Python-powered malware snags hundreds of credit cards, 200K passwords, and 4M cookies
【編集部解説】
今回のPXA Stealer攻撃は、サイバー犯罪の産業化を象徴する事案として注目すべきでしょう。従来の情報窃取マルウェアとは一線を画す、高度に組織化されたエコシステムの存在が明らかになりました。
DLLサイドローディング技術の悪用について詳しく解説すると、攻撃者は署名済みの正規ソフトウェア(Microsoft Word 2013、Haihaisoft PDF Reader)を盾として利用しています。これは「Living off the Land」攻撃の進化形で、セキュリティソリューションが正規ソフトウェアを信頼する性質を逆手に取った巧妙な手法です。
Telegramインフラと「Sherlock」マーケットプレイスの戦略的活用が特に問題視されています。同プラットフォームは暗号化通信と匿名性を提供する一方で、サイバー犯罪者にとって理想的なC&C(コマンド&コントロール)基盤となっています。2025年5月にTelegramが大規模犯罪マーケットプレイスHuione GuaranteeとXinbi Guaranteeを閉鎖したにもかかわらず、「Sherlock」のような新たな脅威が次々と登場している現状は深刻です。
技術面での進歩として、Python言語の採用が挙げられます。これにより攻撃者はクロスプラットフォーム対応とコードの可読性を両立させ、継続的な改良を可能にしました。Chrome App-Bound Encryption Keyへの攻撃手法は、Googleが2024年に導入したセキュリティ機能を無効化する試みであり、防御技術の進歩に対するサイバー犯罪者の迅速な対応を示しています。
経済的影響の深刻さは数値に表れています。窃取された20万件のパスワードと400万個のブラウザクッキーは、金融機関や暗号通貨取引所への不正アクセスに直結する可能性があります。特にBinance、Coinbase、Krakenなどの主要プラットフォームが標的とされており、デジタル資産の大規模な流出リスクが高まっています。
将来への影響として、この事案は「犯罪サービス化(Crime-as-a-Service)」の成熟を示しています。盗難データの自動販売システム、顧客管理ボット、チュートリアル動画の提供など、正規ビジネスさながらのサポート体制が構築されています。これにより参入障壁が下がり、技術的知識が乏しい犯罪者でも高度な攻撃を実行できるようになりました。
規制への影響も無視できません。Telegramのような通信プラットフォームの責任範囲、国境を越えたサイバー犯罪への対処、暗号化技術と公共安全のバランスなど、既存の法的枠組みでは対応困難な課題が浮き彫りになっています。
この事案から読み取れるのは、サイバーセキュリティが単なる技術的課題を超えて、経済・社会・政治的な複合問題へと変化している現実です。Tech for Human Evolutionを掲げる私たちにとって、テクノロジーの進歩がもたらす光と影を正確に把握し、建設的な議論を促すことが重要な責務といえるでしょう。
【用語解説】
DLLサイドローディング
Dynamic Link Library(DLL)ファイルを正規のアプリケーションと同じディレクトリに配置し、悪意のあるコードを実行する攻撃手法である。正規のソフトウェアが起動時に自動的に悪意のあるDLLを読み込むため、セキュリティソフトによる検出を回避できる。
情報窃取マルウェア(Infostealer)
感染したコンピュータからパスワード、クレジットカード情報、ブラウザに保存されたデータなどの機密情報を盗み取ることを目的としたマルウェアの総称である。近年はTelegramなどの通信プラットフォームを経由してデータを送信する手法が主流となっている。
App-Bound Encryption Key
Googleが2024年にChromeブラウザに導入したセキュリティ機能で、保存されたパスワードやクッキーなどの機密データを暗号化し、外部アプリケーションからのアクセスを制限する技術である。
C&C(コマンド&コントロール)
サイバー犯罪者が感染したコンピュータを遠隔操作するための通信基盤である。攻撃者はC&Cサーバーを通じて指令を送信し、盗取したデータを回収する。
Crime-as-a-Service(CaaS)
サイバー犯罪の手法やツールを他の犯罪者に有料で提供するビジネスモデルである。技術的知識が乏しい犯罪者でも高度な攻撃を実行できるようになり、サイバー犯罪の敷居を大幅に下げている。
Sherlock
Telegramベースの地下犯罪マーケットプレイスの一つで、PXA Stealerによって窃取されたパスワード、クレジットカード情報、ブラウザクッキーなどの盗難データが販売されている。自動化された取引システムとボット機能により、犯罪者間での効率的なデータ売買を可能にしている。
【参考リンク】
Haihaisoft PDF Reader(外部)
中国系企業開発の無料PDF閲覧ソフト公式サイト。今回攻撃で正規署名済みバイナリが悪用された
Microsoft Word 2013(外部)
Microsoftの文書作成ソフト2013年版。今回の攻撃でDLLサイドローディングの踏み台として利用
SentinelLabs(外部)
SentinelOneの脅威インテリジェンス部門。PXA Stealer攻撃の詳細技術解析レポートを公開
Beazley Security(外部)
英国保険会社Beazleyグループ傘下のサイバーセキュリティ企業。リスク管理サービス提供
【参考記事】
Ghost in the Zip | New PXA Stealer and Its Telegram-Powered Ecosystem(外部)
SentinelLabsとBeazley Securityの共同調査レポート。PXA Stealerの技術詳細とTelegramベースの犯罪エコシステムを包括的に分析
New PXA Stealer targets government and education sectors for sensitive information(外部)
Cisco TalosがPXA Stealerを初発見・分析した2024年11月レポート。政府機関や教育機関への初期攻撃について詳述
Vietnamese Hackers Use PXA Stealer, Hit 4,000 IPs and Steal 200,000 Passwords Globally(外部)
The Hacker Newsによる最新攻撃状況分析。ベトナム語話者攻撃グループの活動範囲と被害規模を報告
【編集部後記】
突然ですが、みなさんのブラウザに保存されているパスワードは、いつ最後に見直しましたか?
今回の事例は”便利さと引き換えのリスク”を突きつけます。OSやアプリの更新、二要素認証はもちろん、Microsoft Word 2013のような古いソフトの使用継続リスクも考える必要があります。実践している対策や不安に感じる点があれば、ぜひSNSで共有してください。
