MicrosoftとEuropol、情報窃取マルウェア「StealC」「Amadey」の基盤を一斉摘発 C2サーバ200台超を停止

MicrosoftとEuropolは、情報窃取型マルウェア「StealC」と、これを送り込むローダ「Amadey」の基盤を一斉に停止させたと発表した。国際的な取り締まり活動「Operation Endgame」の一環で、Microsoftは200を超えるC2サーバを停止し、被害端末約1万8000台を特定、保護した。両マルウェアは盗んだ認証情報を介してランサムウェア攻撃の起点になるため、企業側の警戒が求められる。

[ITmedia]

　米Microsoftのデジタル犯罪対策部門DCUとEuropol（欧州刑事警察機構）は6月24日、情報窃取型マルウェア「StealC」と、これを送り込むローダ「Amadey」の基盤を一斉に停止させたと発表した。2024年から続く国際的な取り締まり活動「Operation Endgame」の一環で、法執行機関と複数のセキュリティ企業が連携した。

押収されたドメインにアクセスした際に表示される警告画面（画像：MBSD）

　Microsoftによると、DCUは裁判所の命令に基づき、両マルウェアの中核となる200以上のC2（指令）サーバのドメインとIPアドレスを停止させ、感染した約1万8000台の端末を特定して、通信事業者と連携した保護に着手した。2026年5月上旬の2週間だけで、両マルウェアが世界で14万台超の端末の感染に関与していたとしている。DCUは、米フロリダ州の連邦地裁に、運営者やアフィリエイトを相手取った訴訟も起こした。

　Europolは、過去2週間の一連の作戦で計326台のサーバと142のドメインに対処し、約2700万件の窃取された認証情報を回収したと説明している。また、犯罪に関連する暗号資産4100万ユーロ（約75億円）超を特定し、利用を制限したとしている。日本からは三井物産グループのサイバーセキュリティ専門企業である三井物産セキュアディレクション（MBSD）が脅威情報の提供などで協力した。Microsoftはマルウェアの解析にAI「Copilot」を活用したとしている。

　StealCはWebブラウザに保存されたパスワードやCookie、セッショントークン、暗号資産ウォレットなどを盗み出す情報窃取型マルウェアで、Amadeyはそれらを送り込む「足場」の役割を担う。いずれもMaaS（マルウェア・アズ・ア・サービス）として他の攻撃者に貸し出されており、Amadeyが侵入し、StealCが認証情報を盗み、盗まれた情報がアクセスブローカーを介して転売され、最終的にランサムウェアや詐欺につながる仕組みで、攻撃者間での巧妙な分業体制が確立されているという。

AmadeyとStealCが連携する典型的な攻撃の流れ（画像：Microsoft）

　企業にとって注意が必要なのは、こうした感染が管理の行き届かない私物PCなど社外の端末で起きやすい点だ。Microsoftは、従業員の個人端末が情報窃取マルウェアに感染すると、企業のVPNやシングルサインオンの認証情報、セッションCookieが盗まれ、多要素認証を回避されて社内システムに侵入される恐れがあると指摘する。盗まれた認証情報は数日から数カ月後に悪用されることもあり、正規の認証情報を使った侵入は検知が難しい。今回の摘発で基盤の一部は停止したものの根絶には至っておらず、Microsoftは認証情報の管理徹底やクラウド型のマルウェア対策、改ざん防止機能の有効化などを推奨している。

　攻撃の入り口は、検索結果やネット広告を悪用した偽ソフトの配布、ユーザー自身に不正なコマンドを実行させる「ClickFix」、フィッシングメールなど、特別な脆弱性に頼らない手口が中心だとしている。