2025年5月、世界中のWindows PC約40万台を感染させ、パスワードやクレジットカード情報などを盗み出していた悪名高い情報窃取マルウェア「Lumma Stealer」(LummaC2とも呼ばれる)の活動を停止させるため、Microsoftを中心とした国際的な大規模作戦が実行された。この作戦には、米連邦捜査局(FBI)や欧州刑事警察機構(Europol)、日本のサイバー犯罪対策センター(JC3)など各国の法執行機関、そして多数のテクノロジー企業が参加。サイバー犯罪の温床となっていたLumma Stealerのインフラを解体し、その脅威に大きな打撃を与えた。
世界を震撼させた情報窃取マルウェア「Lumma Stealer」とは?
Lumma Stealerは、2022年頃からアンダーグラウンド市場で確認され始めた情報窃取マルウェアである。その最大の特徴は「Malware-as-a-Service(MaaS)」として提供されていた点だ。つまり、高度な技術を持たないサイバー犯罪者でも、月額250ドルから2万ドル程度の料金を支払うことで、Lumma Stealerを利用し、巧妙なサイバー攻撃を仕掛けることが可能だったのだ。
Microsoftの調査によれば、Lumma Stealerはロシアを拠点とする「Shamel」というハンドルネームの開発者によって提供されていたとされ、その「製品」は洗練されたマーケティング手法でTelegramなどのロシア語フォーラムで宣伝されていた。ロゴまで用意し、「私たちと一緒にお金を稼ぐのは簡単だ」といったキャッチコピーで顧客を誘っていたというから驚きだ。
Lumma Stealerの主な機能は以下の通りだ。
- 認証情報の窃取: Webブラウザ(Chrome、Edge、Firefoxなど)に保存されたパスワード、Cookie、自動入力データ。
- 暗号通貨ウォレットの窃取: MetaMask、Electrum、Exodusなどのウォレットファイルや秘密鍵。
- 各種アプリケーションデータの窃取: VPNクライアント、メーラー、FTPクライアント、Telegramなどのデータ。
- 個人ファイルの窃取: PDF、DOCX、RTFなどの文書ファイル。
- システム情報の収集: OSバージョン、CPU情報、インストール済みアプリケーションなどのメタデータ。
これらの情報は、さらなる不正アクセス、金銭詐取、ランサムウェア攻撃、個人情報の売買などに悪用される。実際、Lumma Stealerは教育機関へのランサムウェア攻撃や銀行口座からの不正送金、重要インフラへの攻撃など、数々の深刻なサイバー犯罪に関与してきた。FBIのブレット・レザーマン副補佐官によれば、Lummaは「オンライン犯罪市場で販売されている最も多産な情報窃取マルウェア」であり、2023年だけでLummaに関連するクレジットカード盗難被害額は3,650万ドルに上ったという。
さらに、クラウドデータウェアハウス大手Snowflakeの顧客情報漏洩事件においても、Lummaなどの情報窃取マルウェアが初期侵入に使われた可能性が指摘されている。
国際的な包囲網:Microsoftと法執行機関の電撃作戦
この悪質なマルウェアの蔓延を食い止めるため、Microsoftのデジタル犯罪対策部門(DCU)は国際的な法執行機関や業界パートナーと連携し、Lumma Stealerのインフラ無力化作戦を開始した。
Microsoft DCUの法的措置と技術的貢献
Microsoft DCUは、2025年5月13日、米国ジョージア州北部地区連邦地方裁判所から、Lumma Stealerに関連する約2,300の悪性ドメインの差押えや停止を認める裁判所命令を取得。これらのドメインは、Lumma Stealerのコマンド&コントロール(C2)サーバーやマルウェア配布に使用されていたインフラの根幹をなすものだった。
Microsoftは、これらのドメインを押収または自社の管理下に置くことで、マルウェアと被害者の間の通信を遮断。押収したドメインの一部は「シンクホール」と呼ばれる監視サーバーに向けられ、今後の感染試行や攻撃者の動向を分析するための貴重な情報源となる。
さらに、Microsoft脅威インテリジェンスチームは、Lumma Stealerの技術的な詳細を徹底的に分析。その配布手口やC2通信のメカニズム、回避技術などを解明し、今回の作戦成功に大きく貢献した。同チームのブログでは、Lumma StealerがC++/ASMで記述され、LLVMコアや制御フローフラット化(CFF)といった高度な難読化技術、さらには低レベルシステムコールや「Heavens Gate Technology」と呼ばれる手法まで用いて検出を回避しようとしていたことが明らかにされている。
FBIによる追撃と国際機関・企業の連携
同時期に、米司法省(DOJ)とFBIもLumma Stealerの主要なC2インフラや、マルウェアが販売されていたオンラインマーケットプレイスを押収。FBIは5月19日と21日にかけて、Lummaの管理者が新たに設定し直したログインパネル用のWebサイトも迅速に押収するなど、徹底した追撃を行った。
この作戦には、Europolの欧州サイバー犯罪センター(EC3)や日本のサイバー犯罪対策センター(JC3)も参加し、それぞれの管轄地域におけるLumma関連インフラの停止を支援。さらに、ESET、Bitsight、Lumen、Cloudflare、CleanDNS、GMO Registry、法律事務所Orrickといった多くのテクノロジー企業が、それぞれの専門知識やインフラを提供し、この国際的なテイクダウン作戦に協力した。
Cloudflareは、Lumma Stealerが悪用していた同社サービスのドメインを停止し、警告ページをバイパスしようとするマルウェアの動きを阻止するための追加措置を講じたと報告している。
Lumma Stealerの巧妙な手口:MaaSと多様な感染経路
Lumma Stealerがこれほどまでに広範囲に感染を拡大させた背景には、その巧妙なビジネスモデルと多様な感染手口がある。
多様な感染経路
Lumma Stealerは、以下のような様々な手口で配布されていた。
- フィッシングメール: 有名企業やサービス(Booking.comなど)を装い、緊急の予約確認やキャンセル通知を騙って悪性リンクや添付ファイルをクリックさせる。
- マルバタイジング(悪性広告): 検索エンジンの結果に偽の広告を紛れ込ませ、「Notepad++ download」や「Chrome update」といった検索語句でマルウェア配布サイトへ誘導する。
- 侵害されたWebサイト経由のドライブバイダウンロード: 正規のウェブサイトを改ざんし、悪性のJavaScriptを埋め込み、訪問者に気づかれずにマルウェアをダウンロードさせる。
- トロイの木馬化されたアプリケーション: 海賊版ソフトウェアやクラックされたアプリケーションにLummaをバンドルし、ファイル共有プラットフォームなどで配布する。
- 正規サービスの悪用と「ClickFix」テクニック: GitHubのような公開リポジトリに悪性スクリプトをツールと偽ってアップロードする。特に悪質なのは「ClickFix」と呼ばれるソーシャルエンジニアリング手法で、偽のCAPTCHA認証画面などを表示し、「ロボットではないことを証明する」ために、クリップボードにコピーされた悪性コマンドをユーザー自身に実行させる。このコマンドは、PowerShellなどを介して最終的にLumma Stealerをダウンロード・実行する。
- 他のマルウェアによるドロップ: DanaBotのような別のマルウェアが、追加のペイロードとしてLumma Stealerを投下するケースも確認されている。
セキュリティ企業KelaのVictoria Kivilevich氏は、同じく情報窃取マルウェアであったRedlineが2023年に摘発された後、Lummaの人気が急上昇したと指摘している。
作戦の成果と影響、そして残された課題
今回の国際作戦により、Lumma Stealerの主要なインフラは解体され、その活動は大幅に縮小されたと考えられる。Microsoftは、2025年3月16日から5月16日までのわずか2ヶ月間で、世界中で39万4,000台以上のWindows PCがLummaに感染したと特定しており、この作戦がいかに多くの潜在的被害者を救ったかがうかがえる。
押収されたドメインは、前述の通りMicrosoftのシンクホールにリダイレクトされ、今後のサイバー攻撃の動向分析や、新たな脅威への対策開発に役立てられる。
しかし、サイバーセキュリティの専門家たちは、これで安心するのは早計だと警鐘を鳴らす。SOCRadarのEnsar Seker氏やOntinueのRhys Downing氏は、このようなテイクダウン作戦は効果的であるものの、攻撃者はしばしばブランド名を変更したり、新たな手口を開発したりして復活する「いたちごっこ(Whac-A-Mole)」になる可能性を指摘している。実際、Lummaの開発者「Shamel」も、法執行機関の動きを察知して新たなインフラを準備しようとしていた形跡がある。
FlashpointのIan Gray氏は、情報窃取マルウェアがサイバー犯罪者にとって依然として有用なツールであり続けるだろうと述べている。Trellixの調査によれば、Lummaの開発者はAIをマルウェアプラットフォームに統合し、窃取した大量のデータ処理を自動化しようとしていたという報告もあり、攻撃者の進化は止まらない。
私たちにできること:防御策と心構え
このような巧妙なサイバー攻撃から身を守るために、私たち一人ひとりができる対策は何か。Microsoft脅威インテリジェンスは、以下のような対策を推奨している。
- 多要素認証(MFA)の徹底: 特にフィッシング耐性の高いFIDOトークンやパスキーの利用が推奨される。
- ソフトウェアの最新状態維持: OSやアプリケーション、セキュリティソフトを常に最新の状態に保つ。
- 不審なメールやリンクへの警戒: 見知らぬ送信元からのメールや、安易なURLクリックは避ける。添付ファイルを開く前には必ず確認する。
- 信頼できるソースからのダウンロード: ソフトウェアは公式サイトからダウンロードする。
- セキュリティソフトの活用: Microsoft Defenderなどの信頼できるセキュリティソフトを導入し、リアルタイム保護を有効にする。
- 強力なパスワードの使用と管理: 推測されにくい複雑なパスワードを設定し、パスワードマネージャーなどを活用する。
企業においては、上記に加えて、従業員へのセキュリティ教育の実施、アクセス制御の強化、侵入検知・防御システムの導入、インシデント対応計画の策定などが不可欠である。
Lumma Stealerのシャットダウン作戦は、国際的な連携がいかにサイバー犯罪対策において重要であるかを示す象徴的な事例となった。しかし、これは終わりではなく、新たな始まりに過ぎない。サイバー犯罪者は常に新しい手口を模索し、私たちの防御網を突破しようと試み続けるだろう。
だが、技術的な対策だけでなく、私たち一人ひとりのセキュリティ意識の向上が、サイバー空間全体の安全性を高める上で最も重要であることには変わりがない。今日のデジタル社会において、サイバーセキュリティは他人事ではない。常に情報をアップデートし、適切な対策を講じることが、私たち自身と社会全体を守ることに繋がるだろう。
Sources
