Microsoftは5月21日(米国時間)、「Lumma Stealer: Breaking down the delivery techniques and capabilities of a prolific infostealer|Microsoft Security Blog」において、情報窃取マルウェア「Lumma Stealer(別名:Lumma、LummaC2)」のインフラストラクチャ遮断を支援したと発表した。

業界関係者や国際法執行機関と連携した取り組みにより、Lumma Stealerのバックボーンを形成していた約2,300の悪意のあるドメインの削除、停止、ブロックを支援したという。

  • Lumma Stealer: Breaking down the delivery techniques and capabilities of a prolific infostealer|Microsoft Security Blog

    Lumma Stealer: Breaking down the delivery techniques and capabilities of a prolific infostealer|Microsoft Security Blog

Lumma Stealerの脅威

Lumma Stealerはマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として販売されている情報窃取マルウェア。2022年からダークWebにて販売が開始され、認証情報(多要素認証を含む)、金融情報、個人情報などを標的アプリケーションから効果的に窃取する機能を持つとされる。

Microsoftの発表によると、同社の脅威インテリジェンスチームはマルウェア本体、Lumma Stealerの開発者、コマンド&コントロール(C2: Command and Control)インフラストラクチャを「Storm-2477」として追跡し、調査を継続してきたという。その結果、多様な配布形態、オペレーターの能力の高さが明らかになり、活動の追跡や解体が困難なことも確認されたとしている。

2025年3月16日から5月16日までに実施された調査では、世界中の39万4,000台以上のWindowsコンピュータがLumma Stealerに感染していることが確認されたという。公開された感染コンピュータの分布図によると、欧州を中心に、北米、南米、インド、日本、韓国、中国、東南アジア地域の人口の多い都市に被害が集中していることがわかる(参考:「Disrupting Lumma Stealer: Microsoft leads global action against favored cybercrime tool - Microsoft On the Issues」)。

  • Lumma Stealerに感染したWindowsコンピューターの分布図 - 引用:Microsoft

    Lumma Stealerに感染したWindowsコンピューターの分布図 引用:Microsoft

脅威から世界を救う

Microsoftのデジタル犯罪対策ユニット(DCU: Digital Crimes Unit)は、Lumma Stealerを撲滅するため、米国の連邦地方裁判所に提訴している。そして今回、同社はその裁判所の命令に基づき、Lumma Stealerのインフラを支える約2,300の悪意あるドメインを押収、削除、停止、ブロックする作戦を支援した。

また、同時に行われた作戦により、米司法省(DOJ: United States Department of Justice)が攻撃者の中央指揮系統を押収したことも発表された。これら一連の作戦において、日本サイバー犯罪対策センター(JC3: Japan Cybercrime Control Center)およびユーロポールの欧州サイバー犯罪センター(EC3: European Cybercrime Centre)が、現地のインフラ停止を支援したとされる。

戦いはまだ終わらない

この作戦によりLumma Stealerの運用および活動は大きく制限されたとみられている。しかしながら、脅威アクターおよびその関係者が逮捕されたわけではなく、脅威はまだ存在している。

Microsoftは推奨事項として、脅威を軽減する次のような緩和策を提案している。

  • すべてのオンラインアカウントにフィッシング耐性のある多要素認証(MFA: Multi-Factor Authentication)を設定する。可能であればパスキーを利用する
  • 悪意のあるWebサイトを検出してブロックできるWebブラウザ拡張機能や、セキュリティソリューションを導入する
  • リモートデスクトップサービス接続のネットワークレベル認証(Network Level Authentication)を有効にする
  • ローカルセキュリティ機関(LSA: Local Security Authority)を有効にして、資格情報の窃取を防止する

サイバー犯罪者は執拗かつ狡猾だ。この作戦の結果、より強大な脅威に進化する可能性がある。Microsoftはこのような脅威に立ち向かうため、今後も進化を続け、適応と革新を続けていく方針を明らかにしている。