Lumma Stealer:急激に広がる情報窃取型マルウェアの脅威
最新の「ESET脅威レポート」で、検出が困難な脅威Lumma Stealerの検出が急増していることが明らかになりました。
Mark Szabo 5 Feb 2025
最新の「ESET脅威レポート」で、検出が困難な脅威Lumma Stealerの検出が急増していることが明らかになりました。
Mark Szabo 5 Feb 2025
ESETが年2回発行している「ESET脅威レポート」の中で、ESETの研究者はLumma Stealerの検出が急増していることを明らかにしています。このマルウェアは、消費者と企業の両方にとって検出が困難な脅威になっています。
ESETが発表した統計によると、驚くべきことにLumma Stealerの検出件数は2024年上半期から下半期にかけて369%増加しています。このマルウェアについてはゲーマーへの脅威としてこちらのブログでも説明しています。これは大きな問題であり、Lummaのような情報窃取型マルウェアは一般的に、消費者・企業を問わず、ユーザーが気づかない間にシステムを脅かします。
情報窃取型マルウェアは非常に巧妙な脅威ですが弱点もあります。ESET製品はその弱点を利用し、お客様のセキュリティを守ります。
Lummaは、サービスとしてのマルウェア(MaaS)であり、LummaC2 Stealerとも呼ばれます。Lummaは、主に仮想通貨ウォレット、ユーザー認証情報、二段階認証のブラウザ拡張機能を標的にしていますが、感染したマシンからその他のさまざまなデータも窃取します。
サービスとしてのマルウェア(MaaS)とは?
サービスとしてのマルウェアは、昨今のソフトウェアデリバリモデルと同様に、即座にマルウェアを展開できる完成されたソリューションを、第三者に提供するビジネスモデルです。MaaSは通常、ダークウェブにある地下のハッキングフォーラムで提供されており、MaaSのオペレータは、さまざまなマルウェアを買い切りやサブスクリプションの形で提供しています。このようなサービスによって誰でもマルウェアを簡単に悪用できるようになっており、技術的に高度なスキルを持たない者でもサイバー攻撃を仕掛けることが可能になることから、マルウェアが広く拡散するようになっています。
Lumma Stealerは2022年8月に初めて確認された情報窃取型マルウェアであり、ハッキングフォーラムやTelegramを通じてプランや機能に応じて異なる価格が設定されて販売されています。価格は250ドルから20,000ドルまで幅があり、最も高額なプランではソースコードにアクセスできるため、購入者が再販業者として活動することも可能になります。
Lumma は完成されたマルウェアソリューションであり、経験の浅い攻撃者でも簡単に利用できます。その使いやすさと豊富な機能だけでも、攻撃者にとっては魅力的な選択肢となっていますが、複数の攻撃ベクトルでユーザーに気付かれることなく拡散できることが、その有用性をさらに高めています。
Lumma Stealerはさまざまな配信ベクトルを通じて拡散されていますが、非常に巧妙な手法も存在します。2024年10月に発見された高度な手法では、偽のCAPTCHAサイトが利用され、偽の認証に成功するとこの情報窃取型マルウェアがデバイスに配信される仕組みになっていました。
また、Lumma Stealerは、ChatGPTやVegas Proなどの人気のあるオープンソースまたは有料アプリがクラックされたバージョンをインストールさせて拡散するケースもあります。さらに、フィッシングメールやDiscordメッセージ経由でも拡散されるため、若い世代のオンラインユーザーに拡散する可能性も高まっています。
基本知識
Discordのようなチャットツールは、悪意のあるソフトウェアや詐欺の拡散において大きな役割を果たすことがあります。これらのツールは、オンラインでのユーザー活動のデジタル交差点のような役割を果たしているため、悪用されやすくなっています。また、攻撃者はオンライン/クラウドプラットフォームのコンテンツ配信ネットワークを悪用してマルウェアを拡散する場合もあります。
ESETはまた、Win/Rozena.ADZインジェクターがオンラインマーケットプレイスや成人向けコンテンツを扱うサイト上の改ざんされた動画を介してLumma Stealerを配信する手口を検出しました。同様に、Windowsの海賊版向けのKMSアクティベーターにLumma Stealerが仕込まれていたケースも確認されています。
さらに、2024年6月には、ESETが「Hamster Kombat」という人気のモバイルクリックゲームのプレイヤーを標的とした攻撃を報告しています。Lumma Stealerが仕込まれた暗号化ツールが、このゲーム用の便利な自動化ツールのように偽装され、GitHubリポジトリに隠されていました。
2024年下半期のESETのテレメトリでは、Lumma Stealerの攻撃試行が最も多かった国はペルー、ポーランド、スペイン、メキシコ、スロバキアでした。しかし、Lumma Stealerのみが拡散しているわけではありません。2024年下半期に情報窃取型マルウェア攻撃の対象となった上位5か国は、日本、スペイン、トルコ、ポーランド、イタリアでした。
注意すべき他の情報窃取型マルウェアには、2016年に初めて発見され、主にメールフィッシングを通じて拡散されるFormbookがあります。この情報窃取型マルウェアは、クリップボードデータ、キー入力、スクリーンショット、キャッシュされたブラウザデータを収集し、分析を回避するための高度な難読化技術も使用しています。またポーランド、ルーマニア、チェコ、クロアチアなどの中欧・東欧諸国を対象としたModiLoaderやAceCryptorによる大規模攻撃の一部としても検出されています。
情報窃取型マルウェアの恐ろしさは、短時間の感染でも個人や企業に甚大な被害をもたらす点にあります。これらのマルウェアが十分なデータを窃取する場合、被害者の認証情報や資産(暗号資産や現金)、個人アカウントなどが一挙に窃取される可能性があります。また企業が感染した場合、ネットワーク侵害、データ漏洩、恐喝、ランサムウェア攻撃など、復旧にコストのかかるサイバーインシデントが発生する恐れもあります。
情報窃取型マルウェアなどの脅威からデバイスを保護するための対策はいくつかあります。
Lumma Stealerのような脅威は、若い世代のユーザー、成人、企業など標的を選びません。さまざまな手段で拡散して、悪意ある目的のためにあらゆる情報を窃取しようとします。リスクを軽減するためには、情報窃取型マルウェアの仕組みを理解し、セキュリティの意識を高めることが肝要です。情報窃取型マルウェアは巧妙化しており、広く拡散し続けていることから、新たに発見された脆弱性を放置せず、早急に対策を講じることも求められています。
デバイスのセキュリティを軽視せず、デジタル環境に潜むリスクに常に注意を払うことが重要です。サイバーセキュリティはいつでも、一寸先は闇の世界です。