悪名高いインフォスティーラー「Lumma」 摘発後にも不穏な動き：セキュリティニュースアラート

チェック・ポイントは摘発された情報窃取マルウェア「Lumma」の開発者が活動再開を目指していると発表した。摘発後も認証情報の販売が確認されている。Lummaの今後の動向に注目が集まる。

[後藤大地，有限会社オングス]

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）は2025年6月9日、法執行機関に摘発されていた情報窃取型マルウェア（インフォスティーラー）「Lumma」の開発者が活動再開に向けた準備を進めていると発表した。チェック・ポイントの脅威インテリジェンス部門であるチェック・ポイント・リサーチ（以下、CPR）がその動向を確認している。

摘発からの再起を図る「Lumma」マルウェア開発者の動向

　Lummaはマルウェア・アズ・ア・サービス（MaaS）モデルで提供される情報窃取マルウェアだ。一般的なサイバー犯罪者だけでなく、「Scattered Spider」や「Angry Likho」「CoralRaider」などの著名な脅威アクターグループにも利用されてきた実績を持つ。2025年5月、欧州刑事警察機構（Europol）や米国連邦捜査局（FBI）、Microsoftを含む官民が連携した作戦により、その活動が一時的に停止していた。

　2025年5月に開始された摘発作戦では、Lummaの顧客がコマンド＆コントロール（C2）サーバや管理ダッシュボードへのアクセス不能を訴える混乱が発生した。その後、Lummaの開発者は約2500個のドメインが法執行機関に押収または削除されたことを認めている。

　Lummaの開発者は地理的な制約によってLummaのメインサーバ自体は物理的に押収されなかったとしつつも、Dellの「PowerEdge」サーバに組み込まれたリモート管理機能「iDRAC」（Integrated Dell Remote Access Controller）の未知の脆弱（ぜいじゃく）性が利用された結果、サーバとバックアップが完全に消去されたとしている。

　CPRによると、この摘発によってLummaのインフラは打撃を受けたが、ロシア国内にある多数のC2サーバは影響を受けていないとしている。開発者は既に活動の復旧に着手しているとされ、Telegramでは、運営が通常通り再開されたとの発言も確認されている。

　Lummaの今後についてはサイバー犯罪フォーラムでは意見が割れている。完全なサービス停止や非公開化への移行が予想される一方で、影響は一時的との見方もある。摘発作戦から2日後には、Lummaによって窃取された認証情報を販売するTelegramのbotが95件のログを売り出しており、2025年5月29日（現地時間）時点でその数は406件に達したことが確認されている。Lummaによる被害情報は現在もオンライン市場に出回っており、ロシア市場向けの販売サイトでも同様のログが売り出されている。

　CPRは、今回の作戦がLummaに対し技術的なダメージ以上に同ブランドおよび信頼性に深刻な影響を与えたとしている。開発者は活動の復旧を試みているが、顧客やアフィリエイトの信頼を回復することが今後の大きな課題になるとみられている。Lummaの動向と、それに対する法執行機関やセキュリティベンダーの対応が注目される。