金銭目的の脅威アクター「UNC5142」が、ブロックチェーンのスマートコントラクトを悪用し、情報窃取マルウェアを配布している。
標的はWindowsとmacOSシステムで、Atomic、Lumma、Rhadamanthys、Vidarなどのマルウェアが使用される。攻撃手法は「EtherHiding」と呼ばれ、侵害されたWordPressサイトとBNBスマートチェーン上の悪意のあるコードを組み合わせる。
Google脅威インテリジェンスグループは2025年6月時点で約14,000のウェブページに注入されたJavaScriptを検出したが、7月23日以降は活動を確認していない。攻撃には多段階JavaScriptダウンローダー「CLEARSHORT」が使用され、ClickFix手法で被害者を欺く。UNC5142は2024年11月から単一コントラクトから3つのスマートコントラクトシステムへ移行し、運用の俊敏性を向上させた。
更新には0.25ドルから1.50ドルのネットワーク手数料がかかる。
From: 
Hackers Abuse Blockchain Smart Contracts to Spread Stealer Malware
【編集部解説】
今回のUNC5142による攻撃が示すのは、ブロックチェーン技術の「不変性」という特性が、セキュリティの盾にも矛先にもなり得るという皮肉な現実です。本来、分散型台帳の改ざん不可能性は信頼性の源泉ですが、攻撃者はこの性質を逆手に取り、削除困難なマルウェア配信基盤として活用しています。
特筆すべきは、攻撃インフラの巧妙な設計です。2024年11月以降に導入された3層のスマートコントラクトアーキテクチャは、正規のソフトウェア開発で使われる「プロキシパターン」を応用したもので、Router-Logic-Storage構造により各コントラクトが明確な役割分担を持ちます。これにより、侵害したWordPressサイトのJavaScriptを一切変更せずに、ランディングページのURLや復号化キーを更新できる仕組みを実現しました。
攻撃者が支払うコストはわずか0.25ドルから1.50ドル程度のネットワーク手数料のみ。この低コストで高い俊敏性を維持できる点が、従来のC&Cサーバー方式と大きく異なります。通常のサーバーならドメイン差し押さえやホスティング停止といった対策が有効ですが、ブロックチェーン上のデータは誰も削除できません。
2025年6月時点で約14,000のウェブページが影響を受けているという規模感も看過できません。WordPressは世界のウェブサイトの4割以上で使用されており、脆弱性管理が不十分なサイトが標的となっています。7月23日以降活動が確認されていない点については、戦術変更や新たな攻撃基盤への移行期間である可能性も考えられるでしょう。
この事案が突きつけるのは、Web3時代における新たなセキュリティパラダイムの必要性です。ブロックチェーンの公開性と不変性が正規のトランザクションと悪意ある活動を区別不可能にしており、従来型の検知・遮断手法だけでは対応が困難になっています。
【用語解説】
UNC5142
Googleが追跡している金銭目的のサイバー犯罪グループに付けられたコードネーム。WordPressサイトの侵害とブロックチェーン技術を組み合わせた独自の攻撃手法を用いる。
EtherHiding
BNBスマートチェーンなどの公開ブロックチェーン上に悪意のあるコードやデータを配置することで、検出や削除を困難にする攻撃技術。2023年10月にGuardio Labsによって初めて文書化された。
スマートコントラクト
ブロックチェーン上で自動実行されるプログラム。一度デプロイされるとコードは不変だが、データ部分は更新可能。この特性が攻撃者に悪用されている。
CLEARSHORT
多段階で動作するJavaScriptダウンローダー。侵害されたWordPressサイトからブロックチェーン上のスマートコントラクトを経由し、最終的にマルウェアを配信する。
ClickFix
偽のエラーメッセージやブラウザ更新通知を表示し、ユーザーに悪意のあるコマンドを実行させるソーシャルエンジニアリング手法。2024年5月頃から広く使用されている。
情報窃取マルウェア(Stealer)
認証情報、暗号通貨ウォレット、ブラウザのクッキーなどの機密情報を盗み出すマルウェアの総称。Atomic、Lumma、Rhadamanthys、Vidarなどが代表的。
BNBスマートチェーン(BSC)
Binanceが運営するブロックチェーンプラットフォーム。低い手数料と高速な処理が特徴で、DeFiアプリケーションなどに広く使用されている。
プロキシパターン
ソフトウェア設計における手法の一つ。本体となる機能とインターフェースを分離することで、柔軟な更新や拡張を可能にする。攻撃者はこの正規の設計原則を悪用している。
ClearFake
侵害されたウェブサイトに展開される不正なJavaScriptフレームワーク。ドライブバイダウンロード技術を使用してマルウェアを配信する。2023年7月から活動が確認されている。
【参考リンク】
BNB Smart Chain(外部)
Binanceが運営するブロックチェーンプラットフォーム。スマートコントラクトの実行に対応し、分散型アプリ開発基盤として利用される。
WordPress.org(外部)
世界最大のコンテンツ管理システム(CMS)。世界中のウェブサイトの4割以上で使用されているが、脆弱性管理が課題となっている。
Guardio Labs(外部)
ブラウザセキュリティに特化した研究機関。EtherHidingを含む新たなWeb脅威の発見と分析を行っている。
Sekoia(外部)
フランスを拠点とするサイバーセキュリティ企業。脅威インテリジェンスと検知技術を提供し、ClearFakeの詳細な分析を行っている。
【参考記事】
New Group on the Block: UNC5142 Leverages EtherHiding to Distribute Malware(外部)
Google脅威インテリジェンスグループ(GTIG)によるUNC5142に関する公式報告書です。ブロックチェーンを悪用する「EtherHiding」技術、3層のスマートコントラクトアーキテクチャ、約14,000サイトに及ぶ攻撃規模、2025年7月以降の活動停止など、今回の攻撃に関する最も詳細かつ信頼性の高い情報が記載されています。
【編集部後記】
ブロックチェーンは「信頼できる未来のインフラ」として期待される一方で、その不変性が攻撃者にとっても魅力的な隠れ蓑になっているという現実に、私自身も複雑な思いを抱いています。みなさんが運営されているWordPressサイトやご自身のデバイスは、こうした攻撃から守られているでしょうか。
プラグインやテーマの更新を後回しにしていませんか。ブラウザの更新通知が表示されたとき、それが本物かどうか見極める習慣はありますか。技術の光と影を知ることで、私たちはより賢く、より安全にデジタル社会を歩んでいけるはずです。この事案から、みなさんはどんな気づきを得られたでしょうか。
