人気の攻撃ツール「Lumma Stealer」を撲滅 “犯罪のサブスク”をどう止めた？：Microsoftが39万台の「Windows」PCを救う

Microsoftは、情報窃取型マルウェア「Lumma Stealer」を提供するサービスの活動を停止させることに成功した。その鍵を握ったのは、国際的な公共機関との密な協力だ。この大規模な撲滅作戦の詳細を見てみよう。

[Alex Scroxton，TechTarget]

　Microsoftのデジタル犯罪ユニット（DCU）は法執行機関などの専門機関と連携し、情報窃取型マルウェア「Lumma Stealer」をサービスとして提供するサイバー犯罪集団の活動に大きな打撃を与えた。Lumma Stealerはランサムウェア（身代金要求型マルウェア）攻撃をはじめ、さまざまな攻撃に使われてきた。DCUらはどのようにして撲滅に成功したのか。

Lumma Stealerの危険性と無力化作戦の詳細

併せて読みたいお薦め記事

Microsoft製品は狙われている

• 攻撃者は「Microsoft製品」を攻略か？　狙われ続けるOutlookユーザー
• 「Microsoft Teams」に群がり“あれ”を狙う攻撃者たち　打つべき対策は？

　Microsoftによると、DCUらは2025年5月、米ジョージア州北部地区裁判所の命令に基づき、Lumma Stealer運用の中核を成す約2300件の不正ドメインを押収して停止させた。「Lumma Stealerはシステムログイン用パスワードやクレジットカード情報、暗号通貨ウォレット（暗号資産用の仮想的な財布）の認証情報などを盗むサイバー犯罪活動に使われていた」と、DCUのスティーブン・マサダ氏は述べる。マルウェアをサービス型で提供することは「Malware as a Service」（MaaS）と呼ばれる。

　この作戦には、欧州刑事警察機構（Europol）の欧州サイバー犯罪センター（EC3：European Cybercrime Centre）も関わった。EC3のエドバルダス・シレリス氏は、「Microsoftの技術的知見とEuropolの調整能力を組み合わせることで、Lumma Stealerの大規模なインフラを解体できた」と語る。民間企業と公共機関が力を合わせてサイバー犯罪に立ち向かう成功例だと同氏は評価する。

　マサダ氏によると、Microsoftは約2カ月間にわたり、Lumma Stealerに感染した約39万4000台の「Windows」搭載デバイスを特定した。特定後、同社はこれらのデバイスとLumma Stealerの通信を遮断した。

　押収された不正ドメインは、Microsoftが運営するシンクホール（不正ドメインをブロックする仕組み）にリダイレクトされているという。これによって、同社は攻撃に関する情報を収集し、自社サービスのセキュリティ強化やエンドユーザー保護に役立てることが可能になる。この知見は、他の官民パートナーによる継続的な脅威の追跡や調査にも貢献することが期待される。

　Lumma Stealerは2022年ごろに登場したとみられる。Microsoftによれば、開発元はロシアを拠点としている。Lumma Stealerは撲滅される前、4種類の価格で販売されていた。最低価格は250ドル、最高価格は2万ドルだった。最高価格では、購入者はLumma Stealerのソースコードを得て、再販売の権利を受け取ることができた。

　技術面では、Lumma Stealerはさまざまなセキュリティ対策を擦り抜けて標的システムに入り込めることを特徴としていた。Lumma Stealerを使った攻撃者の大半は、窃取したデータの販売や身代金要求によって収益化を図っていたとみられる。セキュリティベンダーCloudflareで脅威分析ツール「Cloudforce One」の責任者を務めるブレーク・ダルシェ氏は、「Lumma StealerはWebブラウザに入り込み、デバイスの情報を全て収集することが可能だった」と説明する。