Last Updated on 2025-06-20 16:30 by admin
Check Pointが2025年6月12日に公開したレポートで、Discordの招待リンクシステムの脆弱性を悪用した新たなマルウェア攻撃キャンペーンが明らかになった。
攻撃者はバニティリンク登録を通じて期限切れまたは削除された招待リンクを乗っ取り、ユーザーを悪意のあるサーバーに誘導している。
この攻撃では、情報窃取マルウェア「Skuld Stealer」とリモートアクセス型トロイの木馬「AsyncRAT」が配布される。攻撃者はClickFixフィッシング技術、多段階ローダー、時間ベース回避技術を組み合わせて使用している。
攻撃の手口は、正規コミュニティが共有していた招待リンクを制御し、ユーザーを悪意のあるDiscordサーバーに誘導する。ユーザーがサーバーに参加すると、ボット認証による検証ステップの完了を求められ、偽のウェブサイトの「Verify」ボタンをクリックするよう誘導される。
ボタンをクリックするとJavaScriptが実行され、PowerShellコマンドがクリップボードにコピーされる。ユーザーがWindowsの実行ダイアログでこのコマンドを実行すると、Pastebinでホストされたスクリプトがダウンロードされ、最終的にAsyncRATとSkuld Stealerが実行される。
AsyncRATはdead drop resolver技術を使用してPastebinファイルを読み取り、実際のC2サーバーにアクセスする。Skuld StealerはGolang製で、Bitbucketからダウンロードされ、Discord、ブラウザ、暗号通貨ウォレット、ゲームプラットフォームから機密データを窃取する。
このマルウェアはExodusとAtomic暗号通貨ウォレットからシードフレーズとパスワードを収集する。wallet injection手法を使用し、正規のアプリケーションファイルをGitHubからダウンロードしたトロイの木馬版に置き換える。
攻撃者は同じ手法で海賊版ゲーム解除ツールの改変版も配布しており、Bitbucketでホストされたこの悪意のあるプログラムは350回ダウンロードされた。被害者は主にアメリカ、ベトナム、フランス、ドイツ、スロバキア、オーストリア、オランダ、イギリスに在住している。全体で1,300件以上のダウンロードが確認されている。
Discordは悪意のあるボットを無効化し、攻撃チェーンを遮断した。
From: 
Discord Invite Link Hijacking Delivers AsyncRAT and Skuld Stealer Targeting Crypto Wallets
【編集部解説】
今回のDiscord招待リンク乗っ取り攻撃は、単なるフィッシング詐欺を超えた、プラットフォームの信頼性を根本から揺るがす新しい脅威として注目されています。この攻撃の巧妙さは、ユーザーが長年信頼してきたリンクそのものが武器化される点にあります。
従来のサイバー攻撃では、明らかに怪しいメールや偽サイトが使われることが多く、ある程度の警戒心があれば回避できました。しかし今回の手法では、過去に正規のコミュニティが共有した「本物の」招待リンクが悪用されるため、ユーザーは疑いを持つ理由がありません。
特に深刻なのは、この攻撃がDiscordのバニティリンク機能の設計上の盲点を突いている点です。レベル3ブーストを失ったサーバーの招待コードが再利用可能になるという仕様は、おそらく利便性を重視した設計判断だったと推測されますが、結果的にセキュリティホールとなってしまいました。
攻撃者が使用するClickFix技術も注目に値します。この手法は、ユーザーに「自分で」悪意のあるコマンドを実行させる点で従来の攻撃と一線を画しています。偽のCAPTCHA失敗画面を表示し、「手動での認証が必要」という名目でPowerShellコマンドの実行を促す手口は、セキュリティ意識の高いユーザーでも騙される可能性があります。
この攻撃の影響範囲は想像以上に広範囲です。Discordは世界中で数億人が利用するプラットフォームであり、ゲーマーコミュニティから企業のチームコミュニケーションまで幅広く使われています。古い招待リンクが残存するフォーラムやSNS投稿は無数に存在するため、潜在的な被害者数は計り知れません。
暗号通貨ユーザーが主要ターゲットとなっている点も見逃せません。ExodusやAtomicウォレットを狙ったwallet injection攻撃は、DeFiブームで急増した個人投資家にとって深刻な脅威となっています。シードフレーズの窃取は資産の完全な喪失を意味するため、金銭的被害は従来のマルウェア攻撃を大きく上回る可能性があります。
長期的な視点では、この事件はソーシャルプラットフォームのセキュリティ設計に対する根本的な見直しを迫るものとなるでしょう。信頼性を基盤とするプラットフォームにおいて、過去の信頼が未来のリスクとなる可能性を示した今回の事例は、業界全体でのセキュリティ標準の再検討を促すことになりそうです。
Discordが迅速に悪意のあるボットを無効化したことは評価できますが、根本的な招待システムの脆弱性は残存しています。今後、プラットフォーム側でのより抜本的な対策が求められることは間違いありません。
【用語解説】
AsyncRAT
オープンソースのリモートアクセス型トロイの木馬。感染したシステムを遠隔操作し、キーロガー機能、画面録画、ファイル操作などの包括的な制御機能を提供する。C#で開発され、攻撃者が被害者のコンピュータを完全に制御できる。
Skuld Stealer
Golang言語で開発された情報窃取マルウェア。Discord、ブラウザ、暗号通貨ウォレット、ゲームプラットフォームから機密データを窃取する。開発者名「Deathined」によって作成され、特に暗号通貨ウォレットのシードフレーズとパスワードの窃取に特化している。
ClickFix
偽のCAPTCHA認証画面を装い、ユーザーに悪意のあるPowerShellコマンドを手動で実行させるソーシャルエンジニアリング攻撃手法。Cloudflareの認証画面を模倣し、「手動認証が必要」として悪意のあるコードの実行を促す。
バニティリンク(Vanity Link)
Discordサーバーのカスタム招待URL。サーバーがレベル3ブーストを達成した場合に利用可能で、ランダムな文字列ではなく覚えやすいカスタム名を設定できる。ブーストレベルが下がると無効化されるが、他者が同じURLを再利用できる脆弱性がある。
Dead Drop Resolver
AsyncRATが使用する技術で、実際のC2サーバーへのアクセスにPastebinファイルを読み取る手法。直接的な通信を避けることで検出を回避する。
Wallet Injection
正規の暗号通貨ウォレットアプリケーションファイルを、GitHubからダウンロードしたトロイの木馬版に置き換える攻撃手法。ExodusやAtomicウォレットが主要ターゲットとなる。
ChromeKatz
Chromiumベースブラウザのメモリから機密情報をダンプするオープンソースツール。Chromeのアプリバウンド暗号化保護を回避し、クッキーと認証情報を窃取する。
【参考リンク】
Check Point Software Technologies(外部)
イスラエル発のサイバーセキュリティ企業。AIを活用したクラウド配信型セキュリティプラットフォームを提供
Discord(外部)
音声通話、ビデオ通話、テキストメッセージ、メディア共有が可能なインスタントメッセージングプラットフォーム
GitHub(外部)
マイクロソフト傘下の開発者向けプラットフォーム。Gitベースのバージョン管理とコラボレーション機能を提供
Bitbucket(外部)
アトラシアン社が提供するGitベースのコードホスティングおよびコラボレーションツール
Pastebin(外部)テキストの共有とホスティングを行うウェブサービス。開発者がコードスニペットを共有する際に利用
【参考動画】
【参考記事】
From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery(外部)
Check Point Researchによる今回の攻撃キャンペーンの詳細技術レポート
Hijacked Trust: How Malicious Actors Exploited Discord’s Invite System(外部)
Check Pointブログによる攻撃の概要説明。1,300件以上のダウンロードが確認された世界規模の攻撃について詳述
Discord flaw lets hackers reuse expired invites in malware campaign(外部)
BleepingComputerによる技術的詳細の解説。1,300人の被害者と多段階感染プロセスについて詳しく分析
【編集部後記】
今回のDiscord招待リンク乗っ取り攻撃は、私たちが日常的に使っているプラットフォームの「信頼」が武器化される新しい脅威を浮き彫りにしました。特に暗号通貨ユーザーの皆さんにとって、ウォレットの安全性は資産保護の生命線です。
皆さんは普段、どのようにしてDiscordの招待リンクの安全性を判断されていますか?また、暗号通貨ウォレットのセキュリティ対策として、どのような工夫をされているでしょうか?このような巧妙な攻撃が増える中で、私たち一人ひとりができる対策について、ぜひSNSで経験や知見を共有していただければと思います。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
