マイクロソフトは2025年5月、情報窃取型マルウェア「Lumma」に関する大規模な摘発を発表した。このマルウェアは、ブラジルや欧米諸国を中心に394,000台以上のWindows PCへ感染しており、ログイン情報やクレジットカード情報、暗号通貨ウォレットを盗み出す機能を持つ。

マイクロソフトは連邦裁判所に提訴し、LummaのC2サーバーに使用されていた2,300のドメイン差し押さえを進めたほか、米司法省もインフラに使われた5ドメインの押収を実施。感染源には、怪しいゲームやクラックソフトが利用されるケースが多いとされる。

このマルウェアは、他のマルウェアを呼び込む足掛かりともなりうる危険な存在であり、テクノロジー企業を狙う大規模サイバー攻撃とも無関係ではないと見られている。

感染経路は日常の油断 偽アプリとクラックソフトがもたらすリスク

Lummaマルウェアは、日常的にダウンロードされるゲームや改造アプリの中に紛れ込む形で拡散している。この手法は一見して巧妙ではないが、手軽さゆえに被害を拡大させた要因とされる。今回の感染報告では、ブラジルをはじめとする各国で394,000台以上のWindows端末が影響を受けており、その多くは個人利用のPCとみられている。インターネット上で見かける「無料」「改造版」といったワードの誘惑に対し、警戒を怠った結果が現在の被害規模に直結している。

実際、Lummaは感染後ただちにログイン情報、クレジットカード、暗号通貨ウォレットの情報を抽出し、外部に送信する。さらに、この情報はダークウェブ上で流通し、二次的な金銭被害や不正アクセスの引き金となっている。Lummaは単独で完結するマルウェアではなく、さらに深刻なマルウェアを呼び込む「踏み台」としても機能するため、感染の初期段階での気づきが極めて重要である。ダウンロード前に提供元の信頼性を再確認する意識が求められる。

マイクロソフトと司法省の連携が進めた大規模ドメイン差し押さえ

Lummaのインフラを止めるため、マイクロソフトはアメリカ連邦裁判所に民事訴訟を提起し、マルウェアのC2サーバーとして利用されていた2,300のドメインの差し押さえに踏み切った。さらに、米国司法省は別途、運用に使われていた5つの主要ドメインを押収しており、官民連携による迅速な対応が明らかになった。このような連携は、近年のサイバー犯罪対策における実効性の高いモデルケースといえる。

摘発の背景には、Lummaが単なる個人情報の窃取に留まらず、テクノロジー企業を狙った組織的な情報窃取に加担しているという懸念もあった。たとえばPowerSchoolやSnowflakeなどの企業から大量のデータが盗まれた攻撃との関係も指摘されており、インフラレベルでの制圧が不可欠だったと考えられる。今後、マイクロソフトのような企業が法執行機関とどのように協調していくかが、セキュリティの分水嶺となる可能性がある。

Source:TechCrunch