無料見積サイバー保険の⼀括⾒積⽐較はこちらから
画像:Microsoftより引用
米Microsoftは2025年5月21日、情報窃取型のMaaS(マルウェア・アズ・ア・サービス)「Lumma Stealer(別名:LummaC2)」のインフラに対する大規模な遮断措置を実施したことを発表しました。
同社の脅威インテリジェンス部門およびデジタルクライムユニット(DCU)は、同マルウェアの指令・制御(C2)サーバーや関連ドメインを特定し、国際的な法執行機関や業界パートナーとの協力により、約2,300件に及ぶ悪性ドメインの停止に成功したと発表。マルウェア供給側においては、実質上の壊滅的打撃と見られます。
Lumma Stealerは、複数の金銭目的の脅威アクターによって利用されてきたマルウェア・アズ・ア・サービス(MaaS)型の情報窃取ツールです。
フィッシングメール、マルバタイジング、ドライブバイダウンロード、トロイ化アプリ、クラウドサービスの悪用など、複数の手法を組み合わせた柔軟な感染経路を有しているほか、ブロックチェーンを利用して悪性コードを隠す「EtherHiding(イーサーハイディング)」や、偽のエラー表示を見せてユーザーに自らコマンドを入力させる「ClickFix(クリックフィックス)」など、巧妙な“だまし”の手口も用いられるところが特徴です。被害例は極めて多く、これまで世界各国の組織に多数の被害を及ぼしたものと見られています。
Microsoftは対応を試みましたが、Lumma Stealerの通信インフラには複数の隠匿的な手法が用いられ、追跡が困難であったことを明かしています。具体的には、「Cloudflare(クラウドフレア)」というサービスで隠されており、さらに「Telegram(テレグラム)」のチャットや「Steam(スチーム)」のユーザープロフィールページを予備の通信手段として使うなど、発見されにくい構造になっていました。また、このマルウェアは何度もバージョンアップが行われ、通信の仕組み(C2プロトコル)や、やりとりされるデータの暗号化方法も進化していたとのこと。最新版「バージョン6」では、攻撃に使うコマンドの形式がより単純化され、感染先へのアクセスや識別を容易にするなど、洗練さを増していました。
Microsoft社は引き続き、業界との連携によって悪性インフラの監視と遮断を進めるとともに、Microsoft Defender製品を活用した防御強化策の導入を呼びかけています。多要素認証(MFA)の導入や、攻撃面縮小ルール(悪用されような要素を最初から禁止しておくこと)の適用を推奨し、マルウェアの多様化・高度化に対応するためには多層的な防御体制が不可欠であると強調しています。
