Operation EndgameでSocGholish・Amadey・StealCの犯罪インフラを一斉停止、MBSDも日本企業として参画|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月26日更新日時: 2026年06月26日

Europol、Eurojust、Microsoftおよび各国の法執行機関・民間セキュリティ企業は、国際的なサイバー犯罪対策作戦 Operation Endgame の一環として、SocGholish、Amadey、StealCのマルウェアネットワークに対する停止措置を実施しました。

今回の作戦では、マルウェア配布やC2通信、認証情報窃取に使われていた犯罪インフラが対象となり、サーバーやドメインの停止、窃取済み認証情報の回収、犯罪由来暗号資産の特定・制限が行われています。

三井物産セキュアディレクション株式会社、以下MBSDは、Microsoftが主導したAmadeyおよびStealCのインフラ停止プロジェクトに、日本企業として唯一参画したと発表しました。

サマリー

Europol、Eurojust、MicrosoftなどがOperation Endgameの一環として、SocGholish、Amadey、StealCの犯罪インフラを停止
今回の作戦では326台のサーバーと142件のドメインが措置対象となり、約2,700万件の窃取済みログイン認証情報を回収
4,100万ユーロ超相当の犯罪由来暗号資産も特定・制限
MBSDは、Microsoft主導のAmadey・StealCテイクダウンプロジェクトに日本企業として唯一参画
MBSDのサイバーインテリジェンスグループは、約6年半にわたりAmadeyのC2サーバを継続観測
情シス部門では、EDR、SIEM、DNS、プロキシ、認証ログを使い、過去通信や認証情報悪用の有無を確認する必要あり

1 概要
2 対象となったマルウェア
3 MBSDも日本から唯一参加
4 MBSDの観測で分かったAmadeyの特徴
5 情シスが確認すべきポイント
6 即時対応
7
8 関連記事
9 出典

概要

今回のOperation Endgameでは、SocGholish、Amadey、StealCという役割の異なるマルウェアが同時に対象となりました。

SocGholishは、偽のブラウザ更新通知などを使い、ユーザーに不正ファイルを実行させるマルウェア配布基盤です。Amadeyは、感染端末の情報収集や追加マルウェアの配布を担うローダー型マルウェアです。StealCは、ブラウザやアプリケーションに保存された認証情報、Cookie、暗号資産ウォレットなどを盗み出すインフォスティーラーです。

これらのマルウェアは、単独の攻撃ツールとして使われるだけでなく、Malware-as-a-Service型の犯罪サービスとして流通し、ランサムウェア攻撃や金融詐欺、アカウント侵害の起点として悪用されてきました。

Europolの発表では、今回の国際作戦により、SocGholish、Amadey、StealCのネットワークで使われていた主要インフラが妨害されました。

措置対象となったのは326台のサーバーと142件のドメインです。また、約2,700万件の窃取済みログイン認証情報が回収され、4,100万ユーロ超相当の犯罪由来暗号資産が特定・制限されたとされています。

Microsoftは、AmadeyとStealCについて、犯罪者がレンタルや購入を通じて利用できるコモディティ化したマルウェアとして説明しています。StealCは認証情報やCookie、暗号資産ウォレット、メッセージングアプリ、メールクライアントなどから情報を窃取し、AmadeyはStealCを含む追加マルウェアを配布するローダーとして機能します。

特に注意が必要なのは、インフォスティーラーの被害が個人端末から企業リスクへ波及する点です。従業員の私用端末でVPN認証情報、SSOトークン、セッションCookieなどが窃取された場合、攻撃者は正規の認証情報を使って企業環境へ侵入できる可能性があります。

対象となったマルウェア

SocGholishは、FakeUpdatesとも呼ばれるマルウェア配布基盤です。主に侵害されたWebサイト上で偽のブラウザ更新画面を表示し、訪問者に不正なファイルを実行させます。

今回の作戦では、WordPressを含む正規Webサイトが悪用されていた点も重要です。公開Webサイトを運用している企業では、自社サイトが閲覧者へのマルウェア配布に悪用されていないかを確認する必要があります。

Amadeyは、2018年頃から観測されているWindows向けのボット型マルウェアです。感染端末の情報収集、C2通信、追加ペイロードの取得・実行を担い、インフォスティーラーやランサムウェアの初期侵入基盤として悪用されてきました。

StealCは、認証情報やCookie、ブラウザ保存パスワード、暗号資産ウォレット、メールクライアント、メッセージングアプリなどを狙う情報窃取型マルウェアです。Microsoftの分析では、StealCは情報窃取だけでなく、追加ペイロードのダウンロード・実行にも対応しており、後続攻撃の足場としても機能します。

MBSDも日本から唯一参加

MBSDは、Microsoftが主導したAmadeyおよびStealCのインフラ停止プロジェクトに、日本企業として唯一参画しました。

MBSDのサイバーインテリジェンスグループ、CIGは、2019年10月24日から2026年6月3日まで、1日2回AmadeyのC2サーバにチェックインリクエストを送信し、レスポンスを取得・分析していました。

調査対象となったC2サーバは合計741台で、このうち493台からAmadeyのC2サーバとして期待されるレスポンスを受信したとされています。約6年半にわたる観測結果は、Microsoft主導のAmadey・StealCテイクダウンにおいて一定の貢献を果たしたとMBSDは説明しています。

この取り組みは、日本のセキュリティ企業がグローバルな官民連携の中で、脅威インテリジェンスと継続観測データを提供した事例として注目されます。

MBSDの観測で分かったAmadeyの特徴

MBSDの長期観測では、AmadeyのC2サーバの多くが短命である一方、長期間稼働するC2サーバも存在することが分かっています。

観測されたAmadeyのC2サーバでは、1日から7日間活動していたものが全体の20.69%、8日から30日間活動していたものを含めると57.00%となり、約半数は30日以内に活動を終えていました。一方で、1年以上活動を続けるC2サーバも確認されています。

これは、マルウェアの初出時期が古いからといって安全とは言えないことを示しています。古いマルウェアであっても、C2サーバが長期間稼働していれば、感染端末から情報が流出し続ける可能性があります。

また、Amadey経由で配布された追加ペイロードの保存先には、IPアドレスだけでなく、Discord、Bitbucket、GitHubなど広く利用されているサービスも含まれていました。社内からアクセスが許可されやすいサービスが悪用される場合、ネットワーク境界での遮断だけでは不十分です。

情シスが確認すべきポイント

今回のテイクダウンにより、一部の犯罪インフラは停止・妨害されました。ただし、すでに感染していた端末や、過去に窃取された認証情報のリスクが同時に消えるわけではありません。

まず、EDR、ウイルス対策製品、SIEM、プロキシ、DNSログで、Amadey、StealC、SocGholish、FakeUpdatesに関する検知履歴や通信履歴を確認してください。MicrosoftはAmadeyおよびStealCに関するハッシュ、C2 URL、Microsoft Defenderの検知名を公開しています。

次に、VPN、Microsoft 365、Google Workspace、SaaS、リモートデスクトップ、管理画面で、不審なログインがないかを確認する必要があります。インフォスティーラーはIDとパスワードだけでなく、Cookieやセッショントークンも窃取するため、多要素認証を導入していても、正規ログインに見える不正アクセスが発生する可能性があります。

公開Webサイトを運用している企業では、SocGholishのようなWebサイト改ざん型の配布手口にも注意が必要です。特にWordPressを利用している場合は、管理者アカウントの棚卸し、不要アカウントの削除、プラグイン・テーマ・本体の更新、不審なJavaScriptやリダイレクトの有無を確認してください。