ニュース
5月に摘発された情報窃取マルウェア「Lumma」が活動再開の準備中~CPRが発表
2025年6月10日 11:45
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)は6月9日、5月に摘発されたインフォスティーラー(情報窃取型マルウェア)「Lumma」の開発者が、活動の復旧と通常業務の再開に向けて積極に対応を進めていることを確認したと発表した。
2025年5月21日に発表されたEuropol、FBIらの法執行機関およびMicrosoft、日本のJC3(日本サイバー犯罪対策センター)らによる共同作戦により、Lummaは摘発された。CPRによれば、5月23日にはLummaの開発者が公式回答を発表し、Lummaのドメインのうち約2500個が法執行機関によって押収または削除されたことを認めたという。
LummaはMaaS(Malware as a Service)型で提供されるインフォスティーラーで、感染したPCからパスワードやクレジットカード、銀行口座、暗号通貨ウォレットなどの情報を窃取する。Microsoftの解説によれば、フィッシングメールやウェブの偽広告、ClicFix、正規ウェブサイトの侵害など、さまざまな手段により配信され、2025年3月16日~5月16日の間に、日本を含めた39万4000台を超えるコンピューターの感染が確認されていたという。
CPRでは、Lumma開発者がすでに開発を再開したと主張していることを紹介。マルウェアのインフラを調査したところロシアに登録されているC2サーバー(感染端末のコントロール用サーバー)が無効化されていないことが判明したこと、侵害されたPCから窃取された情報がオンライン市場に出回り続けていることを、活動が完全に停止していない証拠として挙げている。
MaaS型のマルウェアであるLummaは、開発者がLummaをサービスとして“販売”し、“購入”した攻撃者がそれぞれの手法で配信(感染を拡大)させ、感染したPCから窃取した情報をオンライン市場で販売するという、一種の“ビジネス”が成立している。CPRは、このような状況を踏まえ、Lummaのようなマルウェアへの対策の真の問題は、技術的なダメージよりも、(Lummaの利用者である攻撃者への)評判面、あるいはLummaというブランドのダメージであると指摘する。
2024年2月にRaaS型ランサムウェア攻撃グループ「LockBit」に対して行われた作戦「オペレーション・クロノス」においては、当局がLockBitの利用者へのプレッシャーとして、利用者リーダーの身元を公表すると予告したカウントダウンタイマーを仕掛けた。このことを引き合いに出し、CPRは、Lummaの摘発においても、法執行機関が同様のことを行ったことを紹介した。
Lummaの摘発時には、Lummaのメインのテレグラムチャンネルにメッセージを投稿するとともに、管理パネルにJavaScriptのスニペットを仕込み、利用者のウェブカメラで写真を撮影すると警告したという。ただ、Lumma利用者の攻撃者たちがこのJavaScriptのコードを詳細に分析したところ、非常に初歩的で正常に動作しないものだったことが判明したとも述べている。
以上のことも踏まえ、CPRでは、Lumma開発者が活動再開の準備をしていることは確認しているが、真の問題は、Lummaの評判にどれほどのダメージが与えられたかだろうとする。そして、法執行機関の心理的攻撃により、利用者に広がった不信感は、容易に払拭できるものではない、との結論を述べている。