サイバーセキュリティ · 1 min read · Sep 08, 2025

マイクロソフト警告: マルバタイジングが世界中で100万台以上のデバイスに感染

マイクロソフトは最近、世界中で100万台以上のデバイスに影響を与えた大規模なマルバタイジングキャンペーンについて緊急警告を発表しました。

このキャンペーンは、Storm-0408という脅威アクターグループによって orchestrated され、フィッシング、検索エンジン最適化(SEO)、およびマルバタイジングキャンペーンを利用して悪意のあるペイロードを配布し、機密ユーザーデータを盗み出しています。

「攻撃は、マルバタイジングリダイレクターが埋め込まれた違法ストリーミングウェブサイトから始まり、ユーザーは中間ウェブサイトにリダイレクトされ、その後GitHubや他の2つのプラットフォームにリダイレクトされました」と、マイクロソフトの脅威インテリジェンスチームは木曜日のブログ投稿で述べました。

「このキャンペーンは、消費者および企業デバイスを含む幅広い組織や業界に影響を与え、攻撃の無差別な性質を浮き彫りにしました。」

攻撃の仕組み

マルバタイジング、または悪意のある広告は、ハッカーが正当なオンライン広告に有害なコードを注入してマルウェアを広めるサイバー攻撃手法です。

マイクロソフトの研究者は2024年12月初旬に、Storm-0408が主に違法な海賊版ストリーミングウェブサイトの動画に悪意のある広告を配置することでユーザーをターゲットにしていることを発見しました。無防備な訪問者が感染した広告をクリックしました。

ユーザーがこれらの誤解を招く広告のいずれかをクリックすると、複数の中間サイトを経由してリダイレクトされ、GitHub、Discord、Dropboxなどの人気プラットフォーム上のマルウェアホスティングリポジトリに導かれました。

これらのリポジトリには、実行時にユーザーのデバイスをさまざまなタイプのマルウェアで感染させる悪意のあるペイロードが含まれていました。

「ストリーミングウェブサイトは、映画のフレーム内にマルバタイジングリダイレクターを埋め込んで、マルバタイジングプラットフォームからのペイパービューまたはペイパークリック収益を生成しました。これらのリダイレクターは、その後、1つまたは2つの追加の悪意のあるリダイレクターを介してトラフィックをルーティングし、最終的にマルウェアまたはテクニカルサポート詐欺ウェブサイトなどの別のウェブサイトにリダイレクトされ、そこからGitHubにリダイレクトされました」とマイクロソフトは付け加えました。

展開されたマルウェアの種類

この攻撃は、高度なマルチステージマルウェア感染で構成されていました。最初のペイロードはドロッパーとして機能し、後のステージのペイロードを静かにダウンロードし、被害者のマシンに悪意のあるコードを実行しました。展開された最も注目すべきマルウェアには以下が含まれます:

  • Lumma Stealer – ログイン資格情報、システム詳細、ブラウザデータを抽出する情報盗難マルウェア。
  • Doenerium (更新版) – 攻撃者が機密情報を収集する能力をさらに強化した悪名高い情報盗難マルウェアの改良版。

これらのマルウェア株は、パスワード、個人情報、さらには銀行ログイン資格情報などの機密ユーザー情報を収集することを目的としていました。

脅威アクターが情報を取得した後、それは攻撃者のコマンド&コントロール(C2)サーバーに送信され、個々のユーザーや企業が危険にさらされました。

ハッカーによる回避戦術

検出を回避するために、Storm-0408は高度な手法を実装しました。その一つの戦術は、正当なクラウドプラットフォームに悪意のあるペイロードをホスティングすることで、マルウェアが通常のネットワークトラフィックと統合され、セキュリティアラームを引き起こさないようにすることでした。

さらに、脅威アクターは、PowerShell.exe、MSBuild.exe、RegAsm.exeなどのLOLBAS(Living Off the Land Binaries and Scripts)を利用して、C2およびユーザーデータとブラウザ資格情報のデータ流出を行い、疑いを持たれないようにしました。

マイクロソフトの対応とセキュリティ対策

この大規模なサイバー脅威に対応するために、マイクロソフトは、GitHub、Discord、Dropboxにホスティングされた悪意のあるリポジトリを削除し、攻撃者がマルウェアに署名するために使用した12の侵害されたデジタル証明書を取り消し、組織や個人がこのような脅威からシステムを保護するのに役立つ技術的詳細と侵害の指標(IoCs)を公開するなど、いくつかの即時の措置を講じました。

デバイスを保護する方法

この攻撃の規模を考慮して、ユーザーはシステムを保護するために積極的な手段を講じることを強く推奨されます。これには、違法ストリーミングサイトや不明なオンライン広告を避けること、信頼できるウイルス対策およびエンドポイント保護ツールを使用すること、データ流出を示す異常な外向き接続を監視すること、資格情報の盗難からアカウントを保護するために多要素認証(MFA)を有効にすることが含まれます。

マイクロソフトの完全なレポートを参照して、攻撃の段階と使用されたペイロードの詳細な内訳を確認できます。

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。