Lummaマルウェアネットワークを摘発、司法省とMicrosoftがドメインを押収|セキュリティニュース

投稿日時: 2025年05月26日更新日時: 2025年05月25日

米司法省は2025年5月21日、情報窃取型マルウェア「LummaC2（通称：Lumma）」に関するインフラを停止するためのドメイン押収を実施したと発表しました。この措置により、サイバー犯罪者がLummaマルウェアを使用して被害者の個人情報を窃取するために利用していた5つのインターネットドメインが差し押さえられ、司法省とFBIによるアクセス遮断メッセージが表示されるようになっています。

さらに、Microsoftは独自の民事訴訟を通じて2,300の関連ドメインの無効化に成功。この協調的な取り組みにより、LummaC2のマルウェアマーケットプレイス、コントロールパネル、C2通信基盤の広範囲な無力化が実現されました。

1 LummaC2とは何か？その脅威と拡散方法
2 国際的な連携による摘発と影響
3 背景にあるLummaの急速な普及
4 FBI・CISAも注意喚起：IOCとTTPを公開
5 今後の対応と注意喚起
- 5.1 まとめ

LummaC2とは何か？その脅威と拡散方法

LummaC2は、サブスクリプション制で提供されているマルウェア・アズ・ア・サービス（MaaS）型のインフォスティーラーです。感染した端末から以下のような情報を盗み出します。

ブラウザの保存データ（クレジットカード、パスワード、Cookie）
メール・金融・暗号通貨ウォレットのログイン情報
オートフィルされた個人情報
仮想通貨のシードフレーズ

価格は月額250～1,000ドルで、GitHubのコメント欄、偽装された成人向けサイト、マルバタイジングなど、様々なチャネルを通じて拡散されています。

Microsoftによると、2025年3月から5月の2か月間で、Lummaに感染したWindows端末は世界で39万台を超えたとのことです。これらの感染端末との通信は今回の摘発で遮断され、被害拡大の抑制につながりました。

国際的な連携による摘発と影響

今回の摘発は米司法省およびFBIの主導により実施され、マイクロソフト、Cloudflare、ESET、CleanDNS、Bitsight、Lumen、GMO Registry、Orrick法律事務所などの民間企業が協力。さらに、Europol（欧州警察機構）と日本のJC3（Japan Cybercrime Control Center）もインフラ差し押さえに参加しました。

CloudflareはLummaの悪用を受け、自社インフラから攻撃者のサーバーのIPアドレスを隠蔽するために使用されていた事実を明らかにし、警告ページ（インタースティシャル）の強化対応を実施しました。

背景にあるLummaの急速な普及

Lummaは2022年12月に闇市場で初登場して以降、短期間でインフォスティーラーの中でもトップクラスのシェアを占めるようになりました。IBM X-Forceの2025年版レポートによれば、昨年だけでインフォスティーラー由来のクレデンシャル流出が12%増加し、その大部分をLummaが占めていたとされています。

このマルウェアは、PowerSchoolやHotTopic、CircleCI、Snowflakeといった大手企業への侵入にも使われており、組織内部ネットワークへの侵入、BGPの設定改ざんといった深刻な二次被害を引き起こしています。

FBI・CISAも注意喚起：IOCとTTPを公開

同日、FBIとCISAもLummaに関するIOC（侵害指標）およびTTP（戦術・技術・手順）の共同アドバイザリを公開し、企業や組織に対し検出・防御体制の見直しを呼びかけています。

今後の対応と注意喚起

米国務省は本件に関与したとされる外国政府関係者に対して、最大1,000万ドルの報奨金を提示しています。また、感染が疑われるユーザーにはFBIのインターネット犯罪苦情センター（IC3）への連絡が推奨されています。

まとめ

LummaC2は、巧妙なマルバタイジングやAIを活用した手法で感染を拡大してきたインフォスティーラーであり、国家間・企業間の枠を超えた摘発がなければ止められなかった脅威です。今回の摘発は、こうしたマルウェア・アズ・ア・サービスの脅威に対する新たな対応モデルとして注目されるべき事例と言えるでしょう。

参照

https://www.justice.gov/opa/pr/justice-department-seizes-domains-behind-major-information-stealing-malware-operation