MSIインストーラーマルウェアが2025年6月から仮想通貨トレーダーを標的に

MSIインストーラーマルウェアが2025年6月から仮想通貨トレーダーを標的に

仮想通貨トレーダーを標的とした高度なマルウェアキャンペーンが、2025年6月から密かに活動していることが発見された。SSHの認証情報とGitLabトークンをMSIインストーラーファイルに直接ハードコーディングするという、一見シンプルながら効果的な手口を使用している。この攻撃活動はすでに90台以上のホストを侵害しており、システム偵察、キーロギング、ブラウザデータの窃取を単一の連携した攻撃チェーンに組み合わせることで、仮想通貨取引アカウントを乗っ取ることを目的として設計されている。デジタル資産を保有または積極的に取引しているユーザーにとって、このキャンペーンの仕組みはなぜハードウェアウォレットだけに頼るのでは十分な保護にならないかを示している。

MSIインストーラーキャンペーンの仕組み：偵察、キーロギング、ブラウザ窃取

攻撃は、ターゲットが正規のMSIインストーラーに見えるファイルを実行したときに始まる。MSIインストーラーとは、無数のソフトウェアベンダーが使用する標準的なWindowsパッケージ形式だ。実行されると、インストーラーは順番に動作する3つのモジュールで構成されたマルウェアキットを展開する。

最初のモジュールはシステム偵察を実行し、感染したホストの構成、ネットワーク環境、インストール済みソフトウェアをマッピングする。この段階により、攻撃者はより深い侵入に踏み込む前に、何を相手にしているかを明確に把握できる。2番目のモジュールはキーロガーを起動し、取引所のログイン認証情報、二要素認証コード、ウォレットのパスフレーズを含む、被害者が入力するすべての内容を記録する。3番目のモジュールはブラウザに保存されたデータを標的とし、保存されたパスワード、セッションクッキー、オートフィルの入力内容を抽出する。これらは、アカウントのパスワードを直接必要とせずに金融プラットフォームの認証を回避するために利用される。

この組み合わせは意図的なものだ。キーロギングは移動中の認証情報を捕捉し、ブラウザ窃取は保存中の認証情報を捕捉する。この2つを組み合わせることで、ほとんど隙がなくなる。

ハードコードされた認証情報が体系的なリスクである理由

このキャンペーンをセキュリティ研究の観点から特に注目すべきものにしているのは、被害者に何をするかだけでなく、攻撃者自身について何を露呈するかという点だ。インストーラー内にSSHの認証情報とGitLabトークンをハードコーディングすることは、マルウェアが自身のバックエンドインフラへの直接的かつ静的なリンクを持つことを意味する。

これは攻撃者側の運用セキュリティの失敗であり、このグループに固有のものではない。正規のソフトウェアであれ悪意のあるツールであれ、開発者がコンパイル済みまたはパッケージ化されたファイルに認証トークンをハードコーディングすると、それらの認証情報はバイナリを検査した誰でも読み取れるようになる。防御者にとっては、マルウェア内のハードコードされた認証情報によって、脅威アクターのコマンドアンドコントロールサーバー、コードリポジトリ、さらには内部の開発ワークフローまでが露呈する可能性がある。被害者にとっては、調査者が攻撃者の追跡に役立てられるかもしれないその同じ欠陥も、侵害が既に発生した後では何の保護にもならない。

このパターンはクラウドを標的とするマルウェアの広範なトレンドを反映している。クラウド認証情報を窃取するPCPJackマルウェアに関するレポートで取り上げたように、認証情報窃取のフレームワークは、不適切に保護されたトークンを手軽な標的として扱う傾向が強まっている。それらのトークンが被害者のものであれ、今回のケースのように攻撃者自身のものであれ、関係なくだ。

誰が標的にされているか、そして仮想通貨トレーダーが狙われる理由

このキャンペーンが仮想通貨トレーダーに焦点を当てているのは偶然ではない。仮想通貨アカウントは特に魅力的な標的プロファイルを持っている。多くの場合、相当な流動性のある資産を保有しており、ブロックチェーンにブロードキャストされた取引は取り消しが不可能で、多くのトレーダーがブラウザベースのインターフェースを使用して複数の取引所のポジションを同時に管理している。

最後の点が重要だ。ブラウザベースの取引は、ブラウザに保存されたセッション、クッキー、保存された認証情報がアカウントアクセスへの直接的な経路になることを意味する。ブラウザから有効なセッションクッキーを取得した攻撃者は、セッション自体がすでに認証済みであるため、パスワードや二要素認証のプロンプトを起動せずに取引所に認証できることが多い。キーロガーコンポーネントは、トレーダーがログアウトして再ログインするあらゆるシナリオをカバーし、新鮮な認証情報をリアルタイムで捕捉する。

すでに90台以上のホストが侵害されていることが確認されており、このキャンペーンの規模は、広範な無差別攻撃というよりも、標的を絞った持続的な攻撃であることを示している。2025年6月以降に非公式または未確認のソースからソフトウェアをダウンロードしたトレーダーが最もリスクにさらされている。

VPN、認証情報マネージャー、ブラウザの衛生管理が攻撃対象領域を縮小する方法

単一のツールがこのキャンペーンのリスクを完全に排除するわけではないが、いくつかの対策によってリスクへの露出を大幅に減らすことができる。

VPNは、マルウェアがすでにマシン上に存在する場合の実行を防ぐことはできないが、トラフィックの傍受リスクを減らし、偵察フェーズで攻撃者が得るネットワークレベルの可視性を制限できる。さらに重要なことは、すべてのデバイスで一貫してVPNを使用することで、ネットワークの衛生管理を後付けではなく習慣として確立できることだ。

認証情報マネージャーは、このキャンペーンの主要な攻撃ベクターの一つであるブラウザに保存されたパスワードに対処する。認証情報がブラウザのネイティブパスワードボールトではなく、専用の暗号化されたマネージャーに保存されている場合、ブラウザのデータ窃取で得られる有用な情報ははるかに少なくなる。ほとんどの認証情報マネージャーはすべてのアカウントに対して一意で複雑なパスワードを生成することもサポートしており、一組の認証情報が捕捉された場合の被害範囲を限定できる。

ブラウザの衛生管理も重要だ。トレーダーは取引所へのアクセス専用に、専用のブラウザプロファイルまたは完全に別のブラウザの使用を検討すべきだ。そのプロファイルには保存されたパスワードを持たせず、厳密に必要なもの以外の拡張機能を入れず、セッションごとにクッキーを消去すべきだ。存在しなくなったセッションからセッションクッキーを盗むことはできない。

最後に、ソフトウェアのインストールに関する規律が最初の防衛線となる。公式ベンダーサイトやアプリストア以外から入手したMSIファイルには現実のリスクがある。ファイルハッシュの検証、パブリッシャー署名の確認、セキュリティソフトウェアの無効化を要求するインストーラーを即座に危険信号として扱うことで、他のすべてを可能にする最初の実行を防ぐことができる。

あなたへの影響

仮想通貨を積極的に取引している場合、またはブラウザベースのインターフェースを通じてアクセス可能なデジタル資産を保有している場合、このキャンペーンは直接的な警告だ。ハードウェアウォレットはオンチェーンの資金を保護するが、取引所アカウントを保護しない。そしてそこがこのマルウェアが損害を与えるように設計されている場所だ。

まず、認証情報が現在どこに保存されているかを監査することから始めよう。取引所のパスワードがブラウザに保存されている場合は、専用の認証情報マネージャーに移行し、各プラットフォームに対して新しい一意のパスワードを生成しよう。ブラウザ拡張機能を見直し、積極的に使用していないものはすべて削除しよう。2025年6月以降に確認できないソースから入手したMSIインストーラーのダウンロード履歴を確認しよう。

ここで説明したハードコードされたトークンのキャンペーンから、クラウドを標的とするフレームワークで文書化された複数のCVE悪用まで、認証情報窃取活動の高度化が進む中、積極的な認証情報の衛生管理は個人ユーザーが利用できる最も効果的な防衛策の一つだ。今日セットアップを監査するために1時間を費やすことは、明日アカウント乗っ取りから回復することよりもはるかに苦痛が少ない。