Microsoftのデジタル犯罪対策部(DCU)と欧州刑事警察機構(Europol)は2026年6月24日、情報窃取型マルウェア「StealC」と、それを送り込むローダー「Amadey」の基盤を一斉に停止させたと発表した。2024年から続く国際的な取り締まり活動「Operation Endgame」の一環で、法執行機関と複数のセキュリティ企業が連携した。
摘発の規模と詳細
Microsoftによると、DCUは裁判所の命令に基づき、両マルウェアの中核となる200以上のC2(指揮)サーバのドメインとIPアドレスを停止させ、感染した約1万8000台の端末を特定して、通信事業者と連携した保護に着手した。2026年5月上半期の2週間だけで、両マルウェアが世界で14万台超の端末の感染に関与していたとしている。DCUは、米フロリダ州の連邦地裁で、運営者やアフィリエイトを相手取った訴訟も起こした。
Europolは、過去2週間の一連の作戦で計326台のサーバと142のドメインに対処し、約2700万件の窃取された認証情報を回収したと説明している。また、犯罪に関連する暗号資産4100万ユーロ(約75億円)超を特定し、利用を制限したとしている。日本からは三井物産グループのサイバーセキュリティ専門企業である三井物産セキュアディレクション(MBSD)が脅威情報の提供などで協力した。Microsoftはマルウェアの解析にAI「Copilot」を活用したとしている。
マルウェアの仕組みと影響
StealCはWebブラウザに保存されたパスワードやCookie、セッショントークン、暗号資産ウォレットなどを盗み出す情報窃取型マルウェアで、Amadeyはそれらを送り込む「足場」の役割を担う。いずれもMaaS(マルウェア・アズ・ア・サービス)として他の攻撃者に貸し出されており、Amadeyが侵入し、StealCが認証情報を盗み、盗まれた情報がアクセスブローカーを介して転売され、最終的にランサムウェアや詐欺につながる仕組みで、攻撃者間での巧妙な分業体制が確立されているという。
企業にとって注意が必要なのは、こうした感染が管理の行き届かない私物PCなど社外の端末で起きやすい点だ。Microsoftは、従業員の個人端末が情報窃取マルウェアに感染すると、企業のVPNやシングルサインオンの認証情報、セッションCookieが盗まれ、多要素認証を回避されて社内システムに侵入される恐れがあると指摘する。盗まれた認証情報は数日から数カ月後に悪用されることもあり、正規の認証情報を使った侵入は検知が難しい。今回の摘発で基盤の一部は停止したものの根絶には至っておらず、Microsoftは認証情報の管理徹底やクラウド型のマルウェア対策、多要素認証の有効化などを推奨している。
攻撃の入口と今後の対策
攻撃の入り口は、検索結果やネット広告を悪用した偽ソフトの配布、ユーザー自身に不正なコマンドを実行させる「ClickFix」、フィッシングメールなど、特別な脆弱性に頼らない手口が中心だとしている。
