近年、サイバー脅威は巧妙化・高度化が進み、進化を続けています。これにより、サイバーセキュリティは個人と企業双方にとって重要なセキュリティ課題として浮上しています。
特にインフォスティーラー(Infostealer)マルウェアへの感染は、被害者の端末システム内で不正な動作を実行する代表的な高リスクの攻撃経路と見なされています。このマルウェアは、ユーザの認識なしに機密情報を窃取し、その結果、データプライバシー侵害、金銭的損失、企業ブランドイメージの低下といった直接的・間接的な被害につながる可能性があります。
インフォスティーラーを基盤とした攻撃は、一般的に組織化されたサイバー犯罪グループによって実行され、窃取された情報はダークウェブ(DarkWeb)で取引されます。その後、この情報は、なりすまし(Identity Theft)、金融詐欺(Financial Fraud)、二次攻撃(Secondary Exploitation)など、多様な不正行為に再利用される可能性があるため、個人および企業双方にとって深刻な脅威要因となっています。
インフォスティーラーは、単独の脅威に留まらず、ランサムウェア、アカウント情報の窃取など、複合的な攻撃の初期段階として悪用されています。したがって、振る舞い検知と脅威インテリジェンス連携が可能なEDR体制の強化が重要です。本報告書は、インフォスティーラーの脅威動向と実際の攻撃事例を分析し、組織が効果的な対応戦略を策定する上で参考資料を提供することを目的としています。
MaaS(Malware-as-a-Service)は、サイバー犯罪者がマルウェア作成ツール、コマンド&コントロール(C2)サーバ、拡散インフラなど、攻撃実行に必要なリソースをサービス形式で提供するモデルです。提供者はサービス利用に対する手数料やサブスクリプション料を請求し、これにより第三者は自らマルウェアを開発・運用することなく攻撃キャンペーンを実行できます。
すなわち、攻撃インフラの開発・維持・運用はMaaS提供者が専門的に担当し、ユーザは一定の費用(サブスクリプションベースまたは都度払い)を支払うことで、容易にマルウェアの流布および攻撃実行能力を提供する仕組みです。
Lummaは、MaaSベースで流通する代表的なインフォスティーラーの一つと言えます。MaaSモデルの主な特徴は以下の通りです。
MaaSは、SaaS(Software-as-a-Service)モデルを悪用した派生形態であり、CaaS(Cybercrime-as-a-Service)エコシステムの下位構成要素の一つに分類されます。このようなMaaSおよびCaaSベースの市場は、主にダークウェブ(DarkWeb)や特定の閉鎖型フォーラムで活発に取引されています。
MaaSエコシステムでマルウェアを製作・配布し、運用インフラを管理する主体はMaaSオペレーターと呼ばれます。彼らは単独の個人ではなく、多くの場合マルウェア開発者、C2サーバおよびインフラ管理者、アクセス権限管理者、技術サポート担当などに役割が細分化された組織的な体制で活動しています。
MaaSオペレーターは一般的に多様な種類のマルウェアをサービス形式で提供しており、主な分類は以下の通りです。
MaaSモデルは、サイバー犯罪活動への参入障壁を大幅に低下させるとともに、多様な影響を及ぼします。
Lummaは、Windowsオペレーティングシステムをターゲットとする代表的な情報窃取型マルウェア(Infostealer)の一つです。2022年8月の初登場以降、現在まで世界的に活発に流布されており、2025年9月にはANY.RUNにアップロードされたマルウェアの中で「Week’s Threats」の1位を記録したこともあります。
[図 3-1] ANY.RUN 週間マルウェアランキング
Lumma Stealerは、サービスとしてのマルウェア(MaaS)として運営され、サブスクリプション方式の支払いだけで誰でも利用できる点が特徴です。これにより、専門知識や開発能力が不足している攻撃者でも攻撃を実行できるため、Lumma Stealerを使用した攻撃事例が継続的に発見されています。
Genians Security Center(GSC)は、Nullsoft Scriptable Install System(NSIS)でパッケージ化されて流布されるLumma Stealerを確認しました。このファイルは、違法ソフトウェアに偽装されており、フィッシングサイトで流布されています。
このファイル内部には、分割されたAutoItモジュールと悪性AutoItスクリプトが含まれています。実行時に分割されたファイルを再結合および実行し、難読化されたシェルコード(Shellcode)をメモリにロードし、プロセスホローイング(Process Hollowing)技術を使用してAutoItプロセスをLumma Stealerに置き換えて実行した後、C2と通信しながら情報の窃取を実行します。
このようなNSISパッケージング、AutoItスクリプト、シェルコードインジェクション、およびプロセスホローイング(Process Hollowing)技術は、シグネチャベースの検知と分析をさらに困難にします。
また、攻撃者らは流布サイトのURLや配布ファイルを変更することによって流布・感染の手口を改良しており、単一の指標に依存した防御だけでは効果的な対応が困難です。したがって、EDRを通じた振る舞い検知と対応が必須です。
Lumma Stealerは、主に不正コピーやクラックプログラムに偽装されており、下記の図のようなフィッシングサイトを通じて流布されています。
上記サイトのダウンロードリンクをクリックすると、2番目のサイトにリダイレクトされますが、これは以前のサイトとの関連性を隠し、セキュリティ対策やレピュテーションベースの遮断を回避するための意図と解釈されます。
また、モニタリングの結果、リダイレクト先のサイトURLが周期的に変更されている事実を確認しました。攻撃者はURLを頻繁に変更し、検知と追跡を回避するように設計したものと見受けられます。
[図 3-4] リダイレクトページ
最終的にダウンロードが行われるホストはMEGAクラウドです。攻撃者は合法的なクラウドサービスを流布インフラとして活用することで、IP/ドメイン遮断を迂回しようとしていると見受けられます。
[図 3-6] Genian EDRで検知されたダウンロードファイル
上記のサイトでファイルをダウンロードすると、パスワードで圧縮されたZIPファイルが保存されます。ファイル名に含まれたパスワードを使用して圧縮を解除すると、NSISでパッケージ化された「setup.exe」という名前のファイルが確認できます。
NSISは、ソフトウェアを配布するために使用されるオープンソースのインストール作成ツールで、小さなサイズと高い圧縮率、そしてスクリプトベースのインストールプロセス制御機能を提供するという利点から、プログラムのインストールに頻繁に活用されています。
しかし、このような特性から、攻撃者がマルウェアを正常なインストールプログラムのように偽装して配布したり、インストールプロセスで追加ペイロードを密かにドロップ(Drop)および実行する手段として悪用されることもあります。
「setup.exe」ファイルが実行されると、まず内部に含まれている悪性ファイルを '%Temp%' パスにドロップします。
[図 3-8] Temp フォルダにドロップされた悪性ファイル
[図 3-9] Genian EDRで検知されたファイルドロップの振る舞い
ファイルのドロップが完了すると、cmd.exeを通じて「Contribute.docx」ファイルを実行します。
[図 3-10] Genian EDRで検知されたcmdコマンド
「Contribute.docx」ファイルには、ダミーコードと難読化されたcmdコマンドが含まれています。最終的に実行されるcmdコマンドには、ドロップされたファイルを再結合して悪性AutoItファイルを生成し、実行する機能が含まれています。
[図 3-11] Contribute.docx ファイル
cmd.exeで実行された「Contribute.docx」は、まず「tasklist」と「findstr」コマンドを使用して、下記リストにあるセキュリティプロセスが実行中であるかを確認します。
もし、上記に該当するセキュリティソリューションが確認されない場合、悪性AutoItスクリプトを実行するために、変数に実行ファイルおよび拡張子を設定する事前作業を実行します。
[図 3-12] セキュリティソリューション確認コマンド
[図 3-13] Genian EDRで検知されたtasklist, findstrコマンド
次に「extrac32.exe」を使用して「Make.docx」ファイル名に偽装されたCAB圧縮ファイルを解凍します。このCABファイル内部には11個のファイルが含まれており、以降のプロセスでAutoItプログラムを生成するために使用されます。
[図 3-14] 圧縮解除されたMake.docx
[図 3-15] Genian EDRで検知されたextrac32.exeの圧縮解除の振る舞い
その後、565905という名前のフォルダを生成し「Copy /b /y」コマンドを使用してAutoItプログラムと悪性AutoItスクリプトファイルを結合します。
[図 3-16] Copyコマンドを通じて再結合されたAutoIt3.exeとAutoItスクリプト
最終的にRiding.pif(AutoIt3.exe)を通じてA(悪性AutoItスクリプト)ファイルが実行されます。
「A」ファイルはコンパイルされたAutoItスクリプトファイルで、セキュリティソリューションの検知と分析を妨害するために、ダミーコードとASCIIコードを通じて難読化されています。
難読化を解除すると、文字列は確認可能ですが、多数のダミーコードが挿入されており、全体的な分析を妨害しています。
[図 3-17] 難読化を解除したAutoItスクリプト
Riding.pif(AutoIt3.exe)を通じてAutoItスクリプトが実行されると、シェルコードを使用して難読化されたLumma Stealerを復号化する作業を行います。
その後、AutoItスクリプトはプロセスホローイング(Process Hollowing)技術を利用してLumma Stealerを実行します。実行されたLumma Stealerは、外見上は「Riding.pif」プロセスに見えますが、実際には内部でLumma Stealerが動作しています。
[図 3-18] Riding.pifプロセスにインジェクションされたLumma Stealer
次に、Lumma Stealerは暗号化されたC2ドメインを復号化し、C2サーバと通信を行います。分析当時に確認されたC2情報は以下の通りです。
| C2ドメイン | IP |
| rhussois[.]su | 64.31.56[.]58 |
| diadtuky[.]su | 109.104.153[.]203 |
| todoexy[.]su | 64.227.2[.]250 |
[表 3-1] C2情報
最終的にLumma Stealerは、ウェブブラウザに保存された認証情報、テレグラムデータ、暗号資産ウォレットなどの情報を収集し、C2に転送します。Lumma Stealerが主に奪取するデータリストは以下の通りです。
[図 3-19] Genian EDRで検知された情報奪取の振る舞い
したがって、ウェブブラウザにアカウント情報を保存しないようにし、全てのアカウントに対して多要素認証(MFA)を適用して、異常な挙動を事前に検知するためのセキュリティモニタリングを導入することが必要です。
Genian EDRは、攻撃ストーリーラインを通じてマルウェアの実行フローを可視化し、セキュリティ担当者が脅威を迅速に識別し、即座に対応できるよう支援します。
[図 4-1] Genian EDR攻撃ストーリーライン
この種類のLumma Stealerは、NSISパッケージ内部に挿入されたAutoItスクリプトを隠して実行することを狙っています。パッケージファイルは内部にマルウェアを分割して含んでいるため、脅威要素を識別することが困難です。
このような脅威を識別するためには、端末で発生するファイルおよびプロセスイベントを調査し、それに基づく実行フローを分析する必要があります。
EDR製品は、既知の脅威だけでなく、シグネチャベースのソリューションを回避を目的とした攻撃技法まで検知することができます。
E6252824BE8FF46E9A56993EEECE0DE6
E1726693C85E59F14548658A0D82C7E8
19259D9575D229B0412077753C6EF9E7
2832B640E80731D229C8068A2F0BCC39
95C3FCDDDA57DE75975733B5512E53FB
E489D88D670EB56D42FEAA4C9C74C4FE
5FE10C629656EEBE75062D6E9000B352
diadtuky[.]su
rhussois[.]su
todoexy[.]su
58.56.31[.]64
64.31.56[.]58
64.227.2[.]250
109.104.153[.]203