サイバーセキュリティ研究者がBlender Foundationファイルを悪用してStealC V2情報窃取型マルウェアを配信する新たなキャンペーンを公開した。
Morphisec社の研究者Shmuel Uzanによると、この作戦は少なくとも6ヶ月間活動しており、CGTraderのようなプラットフォーム上に悪意のある.blendファイルを埋め込んでいる。
ユーザーが無料のオープンソース3D制作スイートであるBlenderでこれらのファイルを開くと、埋め込まれたPythonスクリプトが実行される仕組みだ。
攻撃者は.blendファイル内に「Rig_Ui.py」という悪意のあるスクリプトを含め、BlenderのAuto Run機能が有効な状態で開かれると自動実行される。
これによりPowerShellスクリプトが取得され、2つのZIPアーカイブがダウンロードされる。2025年4月下旬に発表されたStealC V2は、23のブラウザ、100のWebプラグインと拡張機能、15の暗号資産ウォレットアプリ、メッセージングサービス、VPN、電子メールクライアントからデータを抽出できる。
From: 
Hackers Hijack Blender 3D Assets to Deploy StealC V2 Data-Stealing Malware
【編集部解説】
今回の攻撃が示すのは、クリエイティブツールのエコシステムそのものが標的になる時代の到来です。Blenderは無料で高機能な3D制作ツールとして世界中のクリエイターに愛用されていますが、その拡張性を支えるPythonスクリプトの自動実行機能が、まさに攻撃の入口として悪用されました。
特に注目すべきは、攻撃者がCGTraderのような正規のアセット配布プラットフォームを利用している点です。3Dモデルやキャラクターリグを探すクリエイターにとって、こうしたサイトは日常的に利用する場所であり、そこに悪意のあるファイルが紛れ込んでいるという状況は、従来のフィッシングメールやダウンロードサイトとは異なる脅威の形を示しています。
技術的な巧妙さも見逃せません。BlenderのAuto Run機能が有効な状態でファイルを開くと、Rig_Ui.pyという一見正常なリギング用スクリプトが実行されます。これは多段階の感染チェーンの始まりに過ぎず、PowerShellスクリプトを経由して2つのZIPアーカイブをダウンロードし、StealC V2本体と補助的なPython窃取ツールを展開する仕組みです。さらに、スタートアップフォルダにLNKファイルをコピーすることで永続化を実現しています。
StealC V2自体の進化も脅威を増幅させています。2025年4月に発表されたこの最新版は、Chrome 132+を含む23以上のブラウザ、100以上のWeb拡張機能、15の暗号資産ウォレットアプリからデータを抽出できます。メッセージングアプリやVPN、メールクライアントまで対象とする幅広い情報収集能力は、個人のデジタルライフ全体を危険にさらすものです。
Morphisec社の調査によれば、この攻撃キャンペーンは少なくとも6ヶ月間継続しており、ロシア語圏の脅威アクターと関連している可能性があります。過去にはElectronic Frontier Foundationを詐称してオンラインゲームコミュニティを標的にした攻撃との戦術的類似性も指摘されています。
クリエイター向けツールを使う方々にとって、この事案が投げかける問いは重要です。信頼できるソースからのファイルであっても、自動実行機能を有効にしておくことのリスクをどう評価するか。Blender公式ドキュメントでも認めているように、Pythonスクリプトの実行制限がない以上、利便性とセキュリティのバランスをユーザー自身が判断しなければなりません。
対策としては、BlenderのAuto Run機能を信頼できるソースからのファイル以外では無効化することが推奨されます。また、攻撃者がGPU搭載の物理マシンで動作するBlenderを狙うことで、サンドボックスや仮想環境を回避している点も見逃せません。VirusTotal上での検出率が極めて低いサンプルも確認されており、従来型のアンチウイルスだけでは防御が困難な状況です。
【用語解説】
StealC V2
情報窃取型マルウェア(インフォスティーラー)の一種で、2025年4月に発表された最新版。ブラウザ、暗号資産ウォレット、メッセージングアプリ、VPN、メールクライアントなどから認証情報や個人データを窃取する機能を持つ。
.blendファイル
Blenderで使用される3Dプロジェクトファイルの拡張子。3Dモデル、アニメーション、テクスチャなどの情報に加え、Pythonスクリプトを埋め込むことができる。
Auto Run機能
Blenderで.blendファイルを開いた際に、ファイル内に埋め込まれたPythonスクリプトを自動的に実行する機能。リギングや自動化などの高度な作業に便利だが、セキュリティリスクも伴う。
リギング(Rigging)
3Dモデルに骨格(ボーン)を設定し、動かせるようにする作業。キャラクターアニメーションの制作において不可欠な工程である。
インフォスティーラー(Information Stealer)
コンピュータから機密情報を窃取することを目的としたマルウェアの総称。認証情報、クレジットカード番号、暗号資産ウォレットの秘密鍵などが主な標的となる。
PowerShell
Windowsに標準搭載されているコマンドラインシェルおよびスクリプト言語。システム管理タスクの自動化に使われるが、攻撃者にも悪用されることが多い。
【参考リンク】
Blender公式サイト(外部)
無料かつオープンソースの3D制作スイート。モデリング、アニメーション、レンダリング、映像編集など幅広い機能を提供する。
CGTrader(外部)
3Dモデルやデジタルアセットを売買できるマーケットプレイス。プロフェッショナルからアマチュアまで幅広いクリエイターが利用。
Morphisec(外部)
エンドポイントセキュリティソリューションを提供するサイバーセキュリティ企業。Moving Target Defense技術を用いた防御手法が特徴。
Blender公式ドキュメント – スクリプトとセキュリティ(外部)
Blenderにおけるスクリプト実行のセキュリティリスクと、Auto Run機能の設定方法について解説する公式ドキュメント。
【参考記事】
Morphisec Thwarts Russian-Linked StealC V2 Campaign Targeting Blender Users via Malicious .blend Files(外部)
Morphisec社による詳細な技術レポート。攻撃の具体的な手法、感染チェーン、StealC V2の機能、IoC(侵害指標)を詳述。
Morphisec warns StealC V2 malware spread through weaponized blender files(外部)
Security Affairsによる報道記事。CGTraderへの悪意のあるファイルのアップロード手法、多段階感染プロセスを解説。
Russian-linked Malware Campaign Hides in Blender 3D Files(外部)
Infosecurity Magazineによる報道。ロシア関連の脅威アクターによる攻撃キャンペーンとBlenderユーザーコミュニティへの影響。
【編集部後記】
デジタルクリエイターの環境は、日々便利になる一方で思わぬリスクと隣り合わせです。普段使いのツールやアセットが攻撃のきっかけになること、皆さんはどのように感じますか?
もし自身の制作フローを見直すなら、どこから始めたいと考えるでしょうか。安心して創作活動に向き合えるよう、技術やセキュリティ、両方の視点から一緒に未来を考えていきたいです。
