Cloudflare、 Lumma Stealerを阻止する世界規模の活動に参加
脅威レポート - 2025年5月21日
概要
CloudflareのCloudforce OneとTrust & Safetyチームは、Lumma Stealerによるマルウェア事業を阻止するための共同活動に参加しました。Lumma Stealer(LummaC2とも知られています)は、情報窃取マルウェアのより広範なクラスの一部で、個人と組織の両方に深刻な脅威をもたらします。Lummaは、感染したマシンから認証情報、暗号資産ウォレット、Cookie、その他の機密データを流出させることにより、金融詐欺、アイデンティティ窃盗、ランサムウェアにつながりかねない企業への侵入など、幅広い下流の犯罪活動を助長します。このエコシステムを破壊することは、ユーザーを保護し、サイバー犯罪の経済を弱体化させ、さらなる被害を防ぐために極めて重要です。
Lumma Stealerは、 Cloudflareを含む多数のサービスプロバイダーのインフラストラクチャを悪用して、マルウェア事業を援護しようとしました。CloudflareはLumma Stealerによる不正利用を検出したことを受け、Microsoft主導によるLumma Stealer阻止への取り組みに参加しました。この取り組みの一環として、Microsoftは、直接影響を受ける企業から、インテリジェンスや技術的サポートを提供する企業まで、他の民間業界のパートナーと協力し合い、さらには米国司法省、欧州サイバー犯罪センター(EC3)、日本のサイバー犯罪コントロールセンター(JC3)とも連携しました。
概要
Lumma Stealerは、犯罪者が管理パネルへのアクセスをレンタルできるMalware-as-a-Serviceサービスです。管理パネルでは、盗まれたデータを取得できるため、犯罪者は世界中の被害者に配布することを目的として、マルウェアペイロードのカスタマイズされたビルドを生成することができます。
他のほとんどの情報窃取マルウェアと同様に、Lumma Stealerは主にソーシャルエンジニアリングキャンペーンを通じて拡散されます。具体的には、指示に従うように標的を誘導し、結果としてマルウェアをダウンロードさせて実行させるのです。
Lumma Stealerを阻止する取り組みにより、Lumma運営者は、自身のコントロールパネル、窃取したデータのマーケットプレイス、そのデータの収集と管理を容易にするインターネットインフラストラクチャにアクセスできなくなります。こうした取り組みにより、Lummaの運営者とその顧客の双方に運営面と金銭面での両方で打撃を与え、代替インフラでサービスを再構築することを余儀なくさせます。
Lumma Stealerとは?
Lumma Stealerは、2023年2月にロシア語の犯罪フォーラム(ExploitおよびXSS)に投稿したことで初めて確認されました。現在、Lummaのビジネスのほとんどは、犯罪者がさまざまな暗号通貨を使って管理パネルへのアクセス権を購入できるTelegramで行われています。Lummaの最初のセールススレッドは、以下に示すように、犯罪フォーラムに掲示され、あるWebサイトにリンクされていました。このWebサイトは、現在の阻止活動が始まる少し前からオフラインになっています。
ExploitメンバーのShamelという人物が、LummaC2の最初のセールススレッドを投稿しました
Lummaの運営者により収集された、盗まれた資格情報は「ログ」と呼ばれ、解析され、Lumma自身のマーケットプレイスにインデックス化されていました。このマーケットプレイスで、犯罪者が暗号資産でクレジットを購入し、利益を上げられる認証情報を探すことができました。Lummaのログは、盗んだ資格情報のコレクションへのアクセスをTelegramで販売した他の犯罪者によっても収集されました。
Lumma MarketのWebサイトでは、ユーザーは窃取された資格情報を検索し、購入することができます
感染方法
最近の情報窃取キャンペーンは、脆弱性の悪用ではなく、ソーシャルエンジニアリングが一般的です。Microsoftや他のセキュリティ研究者は、ClickFixとして知られるテクニックを文書化しています。このアプローチでは、安全性が損なわれたWebサイトを訪問したり、悪意のある広告が表示されたユーザーに対し、詐欺目的のモーダルポップアップが表示され、使用しているコンピューターに緊急の問題があることが警告されます。ポップアップでは、リモートのPowerShellスクリプトを起動するキーボードショートカットを実行するようユーザーに指示し、ユーザーが実行すると、LummaC2などのペイロードがダウンロードされて実行されます。
Lummaのペイロードは、通常、インストール毎の課金(PPI)ネットワーク、またはサービスとしてのインストールを提供するトラフィックベンダーを使用して拡散されます。価格は通常、インストールする場所と対象デバイスが携帯電話かデスクトップコンピュータかによって異なります。Lummaやその他の多くの情報スクレイピングは、正規のライセンスに対する支払いを避けようとするユーザーをターゲットに、よく利用される商用ソフトウェアのクラックバージョンとバンドルされていることが多くあります。厄介なことに、LummaC2の背後にいる運営者は、自分たちのマルウェアが一般的なウイルス対策ソリューションによる検出を回避するために、多大な努力を費やしています。
Lumma Stealerの活動による脅威を軽減する
Lumma Stealerは、マルバタイジング、フィッシング、または安全性が損なわれたソフトウェアを介して送信されることが多い、急速に進化しているインフォスティーラー(情報窃取マルウェア)であるため、Lumma Stealerへの適切な防御には、多層的なセキュリティアプローチが必要です。新規登録ドメイン(NRD)への攻撃はLummaC2が広く使用する一般的な戦術であるため、企業の防御者は新規ドメインへのアクセスを慎重に制限する必要があります。企業外のユーザーは、必要でない場合は、PowerShellおよびその他のスクリプトの実行を制限または防止することを検討できます。企業の防御者は、次の点についても考慮する必要があります。
エンドポイントの保護とハードニング
信頼されていないWebサイトからの実行可能ファイルのダウンロードをユーザーに許可しない
インターネットからダウンロードした、署名されていない、またはポリシーで明示的に許可されていないスクリ��プトやMicrosoft Officeマクロのダウンロードまたは実行をユーザーに許可しない
資格情報のスクレイピングや不正なファイルアクセスなどの疑わしい行動を検出できる信頼できるエンドポイント検出・対応(EDR)ツールを使用する
アプリケーションの許可リストを作成することで、不明な実行可能ファイル(ダウンロードされたペイロードを含む)の実行を防止する
管理者以外のユーザーによるPowerShellの実行を無効にするか、Constrained Language Modeを使用して不正利用のリスクを低減する
ブラウザと認証情報の衛生管理
ブラウザにパスワードを保存することを避け、専用のパスワードマネージャーを使用する
自動入力データとブラウザーキャッシュを定期的に消去する
名前、電話番号、住所などの機密情報の自動入力を無効にする(特に企業の場合)
定��期的なパッチ適用とアップデート
ブラウザ、オペレーティングシステム、すべてのソフトウェアを最新の状態に保ち、既知の脆弱性を介した悪用可能性を低減させる
DNSとネットワークフィルタリング
セキュアなDNSフィルタリングと脅威インテリジェンスに基づくブロックリストを使用して、NCD、既知のC2サーバー、マルウェア配布ドメイン、データ流出に使用されるTelegram APIへの接続を防止する
メールとWebのフィルタリング
メールゲートウェイに悪意のある添付ファイルとリンクの検出機能を実装する
ブラウザ分離やサンドボックス機能を導入し、マルバタイジングからのドライブ・バイ・ダウンロードのリスクを低減する
ユーザートレーニング
一般的なマルウェアの配布メカニズムであるマルバタイジング、偽のソフトウェアインストーラ、ClickFixのようなブラウザスケアウェアの手口についてユーザーに教育する
PowerShellスクリプトを実行したり、コンピュータの問題を「解決」するよう指示して脅すポップアップをクリックしたりしないようにユーザーに警告する
検出と脅威ハンティング
(特にTelegramや普段アクセスのないドメインに対する)異常なアウトバウンド接続を監視する
資格情報を使用したブラウザからの不正なアクセスを監視する
不審なPowerShellや、プロセスの生成活動を監視する(例:powerShell.exeを生成するexplorer.exe)
Lumma Stealerへの対応において連携する
Cloudflareのサービスは、お客様のインターネットプロパティをDDoSやその他の攻撃から保護します。Cloudflareがこの保護を提供するために、Cloudflareのお客様の発信元IPアドレスは必ずしもWebサイト訪問者に表示されるわけではありません。Lumma Stealerは、Cloudflareのインフラストラクチャのこの機能を悪用して、犯罪者がマ�ルウェアによって盗まれたファイルや認証情報の収集に使用するサーバーの発信元IPアドレスを隠しました。CloudflareのTrust & Safetyチームは、犯罪者が使用しているドメインに繰り返しフラグを立て、アカウントを停止しました。2025年2月、LummaのマルウェアがCloudflareのインタースティシャル警告ページをバイパスしていることが確認されました。インタースティシャル警告ページは、 Cloudflareが悪意のあるアクターを妨害するための対策の一つです。これを受けて、 CloudflareはTurnstileサービスをインタースティシャル警告ページに追加し、マルウェアがバイパスできないようにしました。
Cloudflareの警告インタースティシャルにTurnstile検証が導入されました
阻止活動におけるCloudflareの役割としては、新しいTurnstile対応のインタースティシャル警告ページを、悪意のあるアクターのコマンドが実行される前、コントロールサーバードメインとLummaのマーケットプレイスドメインへ接続される前に表示されるように配置し、ドメインの設定に使用されたアカウントに対して措置を講じることが含まれていました。通常、犯罪者がCloudflareのレジストリサービスではなく、Cloudflareのネームサービスを悪用しようとする場合、レジス�トラでStart of Authorityを変更することで、ドメインのコントロールを取り戻すことができます。Microsoftは、犯罪者がネームサーバーを変更するだけでコントロールを取り戻すことができないように、Lummaのドメインと複数の関連レジストリを閉鎖するよう連携しました。
Lumma Stealerによる侵入を示すインジケータのリストと追加の実用的なコンテキストについては、Cloudforce Oneのお客様が利用できる脅威イベントプラットフォームをご覧ください。
