2025年12月、Zscaler ThreatLabzはC++製のC2インプラント「SnappyClient」を確認した。
HijackLoaderを介して配布されるこのマルウェアは、スクリーンショット撮影、キーロギング、リモート端末操作、ブラウザや拡張機能からのデータ窃取といった機能を持つ。AMSIバイパスや直接システムコールなど複数の検出回避手法を実装しており、ChaCha20-Poly1305でC2通信を暗号化する。Telefónicaを装った偽サイトによる配布と、ClickFixを用いた別の配布経路が確認されている。
Chrome、Firefox、Edge、Brave、Operaからの認証情報とCookieの窃取が可能で、主な目的は暗号資産の窃取だ。コードの類似性から、HijackLoaderとSnappyClientの開発者間に関係がある可能性をZscalerは指摘している。
From: 
C2 Implant ‘SnappyClient’ Targets Crypto Wallets | Dark Reading
【編集部解説】
今回の報告で最も注目すべきポイントは、SnappyClientが「システム破壊を主目的とするマルウェア」ではなく、外部のC2サーバーと通信しながら遠隔操作や情報窃取を行う「インプラント型マルウェア」として報告されている点です。ランサムウェアのように即座に存在を示すタイプとは異なり、感染端末に対する継続的な操作や情報窃取に用いられる点が特徴です。
技術的に特筆すべきは、その検出回避の多層構造です。WindowsのセキュリティメカニズムであるAMSIを無効化し、さらに「Heaven’s Gate」と呼ばれる手法でEDR(エンドポイント検出・応答)製品の監視も回避します。加えて、正規プロセスに悪意あるコードを注入する「トランザクテッド・ホロウィング」によって、セキュリティソフトの目をかいくぐります。
Zscalerの一次情報に当たると、攻撃はドイツ語圏ユーザーを標的にし、TelefónicaのO2ブランドを模倣した偽サイトを起点としていました。標的を絞り込む地域的な精度の高さも、このキャンペーンの洗練された側面といえます。
HijackLoaderとの開発者の関係については、Zscalerも「可能性がある」という慎重な表現に留めています。ただし、API構造の類似やシステムコール実装の共通性、さらに観測されたキャンペーンでHijackLoaderが配布手段として一貫して使われていたことを踏まえ、Zscalerは両者の開発者間に関係がある可能性を指摘しています。
暗号資産を狙う攻撃はSnappyClientだけの話ではありません。同じHijackLoaderは、2026年3月にFBIシアトル支局が被害情報の提供を呼びかけた、Steamゲームを介するマルウェア配布事件との関連も報じられています。こうした動向は、HijackLoaderが複数の攻撃で再利用される配布基盤の一つとして注目されていることを示しています。SnappyClientも、そのような配布経路で展開されるペイロードの一例として位置づけられます。
一般ユーザーが特に意識すべきは、クリップボードの監視機能です。SnappyClientは、イーサリアムのウォレットアドレスに一致するパターンをクリップボードで検知すると、即座にスクリーンショットを撮影してC2サーバーへ送信します。送金操作の際にアドレスをコピー&ペーストする行為そのものが、攻撃者に「今まさに暗号資産を動かそうとしている」というシグナルを送ることになるわけです。
規制・制度面への影響という観点では、こうした高度な検出回避技術を持つマルウェアの登場は、既存のエンドポイント防御の有効性や運用のあり方を再検討する材料になり得ます。
長期的な視点で見れば、SnappyClientが示す「ローダーとインプラントの分業構造」は、サイバー犯罪のプロ化・サービス化(MaaS:Malware as a Service)の流れを考えるうえで参考になる事例です。配布インフラと実際の攻撃ツールを分離することで、開発者は互いに独立してアップデートを重ね、ペイロードを差し替えることが容易になります。このため、個別マルウェアだけでなく、配布経路や関連インフラも含めて追跡するアプローチの重要性がますます高まっています。
【用語解説】
C2インプラント(Command & Control implant)
攻撃者が用意した外部サーバー(C2サーバー)と通信し、遠隔から命令を受け取って動作するマルウェアの一種。感染端末に対する継続的な操作や情報窃取に使われる。
Heaven’s Gate
32ビットプロセスから64ビットのシステムコールを直接呼び出す技術。EDRなどのセキュリティソフトが監視する「ユーザーモードのフック」を回避するために悪用される。
トランザクテッド・ホロウィング(Transacted Hollowing)
正規のプロセスの内部に悪意あるコードをひそかに書き込む、プロセスインジェクションの高度な手法。セキュリティソフトからは正規プロセスが動いているように見えるため、検出が困難。
EDR(Endpoint Detection and Response)
エンドポイント(PCやサーバーなど)上の不審な挙動をリアルタイムで監視・検出・対応するセキュリティ製品の総称。従来のウイルス対策ソフトより高度な行動分析機能を持つ。
ClickFix
偽のエラーメッセージや指示画面を表示し、ユーザー自身に悪意あるコードを実行させるソーシャルエンジニアリング手法。「問題を修正するには以下の手順を実行してください」などと誘導するのが典型的なパターン。
MaaS(Malware as a Service)
マルウェアをサービスとして提供・販売するサイバー犯罪のビジネスモデル。配布インフラや攻撃ツールが分業・商品化されており、技術力の低い攻撃者でも高度な攻撃を実行できる環境を生んでいる。
【参考リンク】
Zscaler ThreatLabz 公式ブログ(外部)
Zscalerのセキュリティ研究部門。SnappyClientをはじめとするマルウェアの技術的分析レポートを継続公開している。
Microsoft AMSI 公式ドキュメント(外部)
SnappyClientが回避を試みたWindowsのマルウェアスキャン用インターフェースの仕組みを解説する公式ページ。
Telefónica 公式サイト(外部)
スペインを本拠とする国際通信企業。今回の攻撃キャンペーンで偽サイトによるなりすましの対象となった企業。
【参考記事】
Technical Analysis of SnappyClient | Zscaler ThreatLabz(外部)
SnappyClientの一次情報源。攻撃チェーン、設定ファイル、ネットワークプロトコル、IOC、MITRE ATT&CKマッピングを網羅した技術分析レポート。
SnappyClient Implant Blends Remote Access, Data Theft, and Stealth Evasion | GBHackers(外部)
EventsDBがBinanceやCoinbaseなどのウィンドウタイトルを監視していることを含め、機能と標的を整理した解説記事。
FBI seeks victims of Steam games used to spread malware | BleepingComputer(外部)
HijackLoaderが関与したSteamゲームを介するマルウェア配布事件を報道。被害者が32,000ドルを失った事例も記録されている。
Technical Analysis of SnappyClient | InfoSec Today(外部)
HijackLoaderとSnappyClientのAPI構造・syscall・トランザクテッド・ホロウィングの類似点を横断確認できる転載記事。
Technical Analysis of SnappyClient | MalwareTips Forums(外部)
セキュリティコミュニティによる考察スレッド。HijackLoaderが二次ペイロード配布に繰り返し使用されてきた経緯を補完している。
【編集部後記】
暗号資産のウォレットアドレスをコピー&ペーストする、その一瞬を狙われている——そう聞いて、どんな気持ちになりましたか。セキュリティは「自分には関係ない」と感じる方も多いと思います。
でも、日常のちょっとした操作が狙われる時代になってきているのかもしれません。みなさんはどんな対策を意識していますか?ぜひ一緒に考えてみたいです。
