なぜ攻撃者たちはインフォスティーラーを好むのか？ 大規模攻撃から見えた事実：Cybersecurity Dive

情報窃取型のマルウェアである「Lumma infostealer」は、ハッカーがパスワードやクレジットカード情報、暗号通貨ウォレットを盗むためによく使われている。この度の摘発により2300件のドメインが押収された。

[David Jones，Cybersecurity Dive]

　Microsoftのデジタル犯罪ユニット（DCU）は2025年5月21日（現地時間、以下同）、世界中の犯罪組織やその他の攻撃者に広く利用されている情報窃取型マルウェア「Lumma Stealer」の摘発を目的とした国際的な作戦を発表した。

悪名高い情報窃取型マルウェア「Lumma Stealer」　Microsoftの摘発作戦

　DCUのスティーブン・マサダ氏（アシスタント・ゼネラル・カウンセル）は、ブログ投稿の中で次のように述べている（注1）。

　「近年、ハッカーたちは大規模な攻撃キャンペーンにおいてLumma Stealerを使用し、パスワードやクレジットカード、銀行口座情報、暗号通貨ウォレットなどを盗んできた」

　Microsoftは、2025年3月16日〜5月16日の間にLumma Stealerに感染した「Windows」のPCが39万4000台以上に上ることを確認した。米国ジョージア州北部地区の連邦地方裁判所からの命令を受けて、Lumma Stealerのインフラの中核を構成する2300件のドメインを押収した。さらに、米国司法省はLumma Stealerの中枢司令部を押さえ、同マルウェアを販売していたオンラインマーケットプレースのかく乱にも成功した。

　Microsoftの広報担当者は『Cybersecurity Dive』に対して次のように述べた。

　「私たちのブログでも述べているように、Lumma Stealerは配布が容易で検出が困難な上、特定のセキュリティ防御を回避するようにプログラムすることも可能だ。そのため、サイバー犯罪者やオンラインの攻撃者にとって定番のツールとなっている。Lumma Stealerは、アカウントや機密情報への初期アクセスを効率的に得るためのツールとして使用され、その後にランサムウェアや詐欺といった他のサイバー犯罪が実行されるのだ」

　関係者によると、Lumma Stealerの主な開発者はロシアを拠点としており、オンライン上では「Shamel」という名前で活動しているという。

　Lumma Stealerは、近年実行された大規模な情報窃取作戦の幾つかで重要な役割を果たしてきた。Microsoftは2025年3月に、宿泊サービスを提供するBooking.comへの攻撃にこれが使用されていたことを確認した。

　また、Lumma Stealerについては、悪名高いサイバー犯罪グループ「Scattered Spider」との関係も指摘されている。

　サイバーセキュリティ事業を営むCato Networksの研究者たちは、2025年5月21日に公開したレポートで「Lumma Stealerが同年2月に実行されたキャンペーンに関与していた」と述べている（注2）。このキャンペーンでは、TigrisやOracleなどのオブジェクトストレージサービスが悪質なWebサイトのホスティングに利用されていた。

　Palo Alto Networksのセキュリティチーム「Unit 42」に所属するクリストファー・ルッソ氏（プリンシパル脅威リサーチャー）は、次のように語った。

　「攻撃者が情報窃取型のマルウェアを好むのは、企業の認証情報やトークンが保存およびキャッシュされており、セキュリティが甘い個人のデバイスを狙いやすいためだ。初期アクセスの仲介は大きなビジネスであり、攻撃者はほとんどリスクを負うことなく、大量の認証情報を収集できる」

（注1）Disrupting Lumma Stealer: Microsoft leads global action against favored cybercrime tool（Microsoft）
（注2）Cato CTRL? Threat Research: Suspected Russian Threat Actors Leverage Tigris, Oracle Cloud Infrastructure, and Scaleway to Target Privileged Users with Lumma Stealer（CATO NETWORKS）

原文へのリンク