Last Updated on 2025-03-19 14:31 by admin
セキュリティ企業Malwarebytesは2025年3月、Reddit上で新たな情報窃取型マルウェア(スティーラー)が拡散していると報告した。この攻撃は暗号通貨取引に関わるユーザーを標的にしており、MacとWindows両方のユーザーが危険にさらされている。
攻撃の概要
- 標的: Redditの暗号通貨取引コミュニティのユーザー
- 手口: 人気取引分析プラットフォーム「TradingView」の無料クラック版を装ったソフトウェア配布
- マルウェア:
- Windows向け: Lumma Stealer
- Mac向け: Atomic Stealer (AMOS)
- 目的: 個人データの窃取と暗号通貨ウォレットの乗っ取り
配布方法と技術的特徴
- 配布手法:
- 二重ZIP圧縮とパスワード保護(正規ソフトでは使用されない手法)
- ドバイの清掃会社の脆弱なウェブサイト(2021年12月にサポート終了のPHPバージョン7.3.33を使用)を経由
- 技術的詳細:
- Mac版: 仮想マシンの存在をチェックする機能あり、検出時はエラーコード42で終了
窃取データはセーシェルのサーバー(45.140.13.244)に送信 - Windows版: 難読化されたbatファイルを介して悪意のあるスクリプトを実行
ロシアで登録されたドメイン「cousidporke[.]icu」と通信
- Mac版: 仮想マシンの存在をチェックする機能あり、検出時はエラーコード42で終了
被害状況と注意点
- 確認されている被害:
- 暗号通貨ウォレットが空にされた被害者の報告あり
- 被害者のアカウントを乗っ取り、連絡先にさらにフィッシングリンクを送信する二次攻撃も発生
- セキュリティ専門家からの注意喚起:
- セキュリティソフトウェアを無効にするよう指示するプログラムには従わない
- パスワード保護されたファイルには特に警戒する
- 不審なプラットフォームからのダウンロードを避ける
この攻撃は特に暗号通貨取引を行うユーザーを狙った高度な手法を用いており、被害の連鎖が懸念される。不審なソフトウェアの無料提供には十分な注意が必要だ。
from:AMOS and Lumma stealers actively spread to Reddit users
【編集部解説】
今回のMalwarebytesが報告したReddit上での暗号通貨ユーザーを狙ったマルウェア攻撃は、サイバーセキュリティの世界で近年急増している「情報窃取型マルウェア(スティーラー)」の典型的な事例と言えます。特筆すべきは、攻撃者がMacとWindowsの両方のユーザーを同時に標的にしている点です。
従来、Macはセキュリティが高いという神話がありましたが、この事例からも分かるように、現在ではWindowsと同様に標的にされています。実際、記事中の「Macで本物のウイルスがあるなんてすごいことだ」という攻撃者のコメントは、この神話を逆手に取った巧妙な心理戦と言えるでしょう。
Malwarebytesの報告によれば、AMOSとLummaスティーラーは2024年から2025年にかけて急速に拡大しており、ESETの調査によるとLummaスティーラーの検出数は2024年後半に369%も増加しています。これは単なる一過性の攻撃ではなく、組織的かつ長期的な脅威であることを示しています。
特に注目すべきは攻撃手法の洗練さです。攻撃者はRedditの暗号通貨関連コミュニティに潜入し、ユーザーの信頼を得るために積極的にスレッドに参加し、質問に答えるなど「親切な」振る舞いをしています。これは単なる自動化されたスパムではなく、人間による高度なソーシャルエンジニアリングが行われていることを示しています。
また、マルウェアの配布方法も巧妙です。二重にZIP圧縮してパスワード保護するという手法は、セキュリティスキャナーを回避するための典型的な手法ですが、一般ユーザーにはその危険性が理解しづらいものです。さらに、ドバイの清掃会社のウェブサイトを利用するという一見不可解な選択も、実は攻撃者がコードを直接アップロードし更新できる環境を確保するための戦略的な判断だったと考えられます。
このような攻撃が成功する背景には、「無料でプレミアム機能が使える」という誘惑があります。特に暗号通貨トレーダーは、TradingViewのようなツールのプレミアム機能に高い価値を見出しており、そこを狙った攻撃は心理的に効果的です。TradingViewのプレミアムプランは月額約15ドルから180ドルと決して安くないため、無料で手に入るという誘惑は大きいでしょう。
Palo Alto Networksの調査によれば、こうした詐欺的な暗号通貨プラットフォームは何千もの数が存在し、東アフリカやアジアの国々を主な標的としています。これらは単発の攻撃ではなく、組織的なキャンペーンの一部であり、Telegramなどのメッセージングプラットフォームも活用して被害者とのコミュニケーションを図っています。
特に懸念されるのは、被害が暗号通貨ウォレットの盗難だけにとどまらない点です。攻撃者は被害者になりすまして連絡先にフィッシングリンクを送信するため、被害が連鎖的に拡大する可能性があります。これは単なる金銭的被害を超えた、信頼関係の破壊という社会的な問題も引き起こします。
セキュリティ専門家の間では、こうした「Malware-as-a-Service(MaaS)」モデルの台頭が大きな懸念となっています。LummaスティーラーやAMOSは、ダークウェブ上のハッキングフォーラムやTelegramで250ドルから20,000ドルで販売されており、技術的な知識がなくても誰でも購入して攻撃を仕掛けることができます。これはサイバー犯罪の「民主化」とも言える現象で、攻撃の数と多様性を急増させる要因となっています。
私たちユーザーはどう対応すべきでしょうか?まず、セキュリティソフトウェアを無効にするよう指示するプログラムには絶対に従わないこと、パスワード保護されたファイルには警戒すること、そして疑わしいプラットフォームでホストされているファイルはダウンロードしないことが基本です。
また、友人からの推薦であっても無条件に信頼せず、公式サイトからのダウンロードを心がけることが重要です。特に「完全無料」「クラック版」といった言葉には警戒が必要でしょう。
テクノロジーの発展とともに、サイバー攻撃も高度化・複雑化しています。しかし、基本的な警戒心と適切なセキュリティ対策を講じることで、多くの攻撃から身を守ることは可能です。今回の事例は、デジタル時代における「無料の昼食はない」という古い格言の新たな証明と言えるかもしれません。
【用語解説】
スティーラー(Stealer):
パスワードや暗号通貨ウォレット情報などの個人情報を盗み出すことに特化したマルウェア。「泥棒」という意味の英単語から来ており、まさに情報を「盗む」ことを目的としている。
AMOS/Atomic Stealer:
Mac向けの情報窃取型マルウェア。月額3,000ドルで販売されているMaaS(Malware-as-a-Service)の一種である。ブラウザの保存パスワードや暗号通貨ウォレット情報、システム情報などを盗み出す。
Lumma Stealer:
Windows向けの情報窃取型マルウェア。2022年8月から少なくともロシア語圏のフォーラムでMaaSとして提供されている。月額250ドルから利用可能で、最上位プランではソースコードも入手できる。
MaaS(Malware-as-a-Service):
SaaSのマルウェア版。技術的な知識がなくても、月額料金を支払えば誰でもマルウェアを利用できるサービス。これにより、高度な技術を持たない人でもサイバー攻撃を仕掛けることが可能になっている。
TradingView:
2011年に設立された金融市場分析のためのチャートツールを提供するプラットフォーム。株式、外国為替、暗号通貨、商品などの分析に使用される。2021年10月の資金調達で30億ドルの評価額を獲得した。プレミアムプランは月額約15ドルから180ドルで提供されている。
Reddit:
2005年に設立されたソーシャルニュース集約サイト。「サブレディット」と呼ばれる数多くのコミュニティで構成されており、ユーザーは投稿に対して「アップボート」や「ダウンボート」で評価できる。2025年2月時点で世界で9番目に訪問者数の多いウェブサイトである。
ソーシャルエンジニアリング:
人間の心理的な弱点を突いて情報を引き出したり、特定の行動を取らせたりする手法。技術的な脆弱性ではなく、人間の判断ミスを利用する攻撃方法である。
【参考リンク】
Malwarebytes(外部)
セキュリティソフトウェアを提供する企業。マルウェア対策ソフトウェアで知られている。
TradingView(外部)
金融市場分析のためのチャートツールを提供するプラットフォーム。株式、暗号通貨などの分析に使用される。
Reddit(外部)
ユーザー生成コンテンツを中心としたソーシャルニュースサイト。様々なトピックのコミュニティが存在する。
Telegram(外部)
クロスプラットフォームのメッセージングアプリ。マルウェア販売者が利用するチャネルの一つとしても知られている。
ESET(外部)
スロバキアに本社を置くセキュリティソフトウェア会社。マルウェア分析レポートを定期的に発表している。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
