“Stealerium(スティーラリウム)”は、情報窃取型マルウェア(infostealer)の一種で、比較的新しく注目を浴びているマルウェアです。以下に「どのようなマルウェアか」と「対策・防御方法」を、技術的にも実践的にも詳しく整理して説明します。
Stealeriumとは:特徴と振る舞い
まず、Stealerium がどのような性質を持つマルウェアなのかを押さえておきましょう。
概要・起源
- Stealerium はオープンソースで公開されているインフォスティーラー(情報窃取型マルウェア)で、主にGitHubなどで “educational purposes only(教育目的のみ)” として公開されていました。
- ただし、オープンソースであるという性質が、サイバー犯罪者にとって改変・再利用を容易にする結果ともなっており、多くの亜種(派生型)が作られています。
- 特に最近(2025年夏ごろ以降)、Stealerium をベースにしたキャンペーンが世界的に増加してきた、という報告があります。
主な機能・侵害対象データ
Stealerium は典型的な “stealer(窃取型)” マルウェアの機能を備えつつ、そこにプライバシー侵害を深める機能が付加されている点が注目されます。以下、主なものを整理します。
機能 | 内容・特徴 |
---|---|
情報窃取の対象 | Web ブラウザのクッキー、保存されたパスワードやセッション情報、クレジットカード情報、暗号資産ウォレットの鍵、Discord や Skype、Outlook、Telegram、VPN クライアント設定など |
ホスト(端末)情報収集 | 実行中プロセス情報、ネットワーク情報(Wi-Fi プロファイルや周辺ネットワーク)、IP アドレス、OS 情報、スクリーンショット、Web カメラキャプチャ(後述)など |
クリップボード監視 | クリップボードの内容(例えば、コピー・貼り付けされたテキスト)を窃取する機能を持つ場合がある |
キーロガー | キー情報を監視・記録するモジュールを備えていることが報告されている |
クリッパー機能 | 暗号資産(仮想通貨)取引時にコピーされたウォレットアドレスを改ざんし、攻撃者のアドレスに差し替える機能を持つ亜種もあるとの報告あり |
プライバシー侵害機能(自動化セクストーション) | Stealerium のなかには「アダルト/性的コンテンツ」の語句が含まれるブラウザタブを検知した際に、そのタブのスクリーンショットを取得し、さらに Web カメラで被写体(ユーザ)の写真を撮影して攻撃者に送信する機能を持つ変種も報告されています。これにより脅迫(セクストーション)目的に使われる可能性が指摘されています。 |
解析回避・隠蔽技術 | 仮想環境(VM)やサンドボックス上で実行されていないかチェックする、デバッガーの検出、正規プロセスへのインジェクション、難読化、Windows Defender を迂回する方法、スケジュールタスク登録による持続性維持など 。 |
情報の送信( exfiltration ) | 窃取したデータは、Discord Webhook、Telegram API、SMTP(メール送信)、外部ファイルストレージサービス経由など、複数のチャネルを通じて攻撃者サーバへ送られることが報告されています。 |
これらの機能を踏まえると、Stealerium は 純粋な情報窃取 にとどまらず、プライバシーの深刻な侵害・脅迫を可能にする追加機能を持つ マルウェアと言えます。
特に “ブラウザでアダルト系コンテンツを開いているかどうかをトリガーにしてスクリーンショット+ウェブカメラ撮影を行う” という機能は、従来の盗聴・窃取型マルウェアとは一線を画す、非常に侵襲性の高いものです。
感染経路・拡散手法(攻撃チェーン)
Stealerium 系のマルウェアがどのようにして標的に入り込むか、その典型的な流れを見ておきます。
- フィッシングメール / スパムメール
- 支払通知、請求書、未払い案内、税務、銀行連絡、配送通知などを偽装したメールに添付ファイル(.exe、.js、.vbs、.iso、.img、.ace など)やリンクが含まれており、それをクリック・実行させる誘導を行う。
- 最近では LNK ファイルを偽装した手法(拡張子偽装)も報告されており、実際にはスクリプトやペイロードを読み込むものになっているケースがあります。
- マクロ / スクリプト実行
- マルウェアが Office ファイル(例:PowerPoint、Word)に仕込まれたマクロを悪用して実行されるケースも確認されています。
- ある変種(StealeriumPy)は “ClickFix” と呼ばれる手法を使って、ポップアップ操作やユーザー誘導でスクリプト実行させることが報告されています。
- 初期ペイロード起動 → 標的環境の偵察・権限昇格
- 実行されると、まず環境の情報取得やデバッガー・仮想環境かどうかの確認などを行い、動作環境かどうかを見極めます。
- 必要に応じて Defender 等のセキュリティソフトの除外設定を追加したり、スケジュールタスクを登録して永続化を図るなどの処理もされ得ます。
- 情報収集・窃取動作
- 各種データ取得(ブラウザ情報、アプリの認証情報、ネットワーク情報、スクリーンショット、Web カメラキャプチャ、クリップボード、キーログなど)を実行。
- ブラウザのタブ URL を監視し、特定語句(性的な語句など)が含まれていれば、スクリーンショット取得/Web カメラ撮影を行うという機能を持つ変種も報告されています。
- データ送信(通信)
- 窃取したデータは、Discord Webhook、Telegram、SMTP、外部ストレージ経由など多様なチャネルを経由して攻撃者に送られます。
- 時には “netsh wlan” コマンドなどを使って Wi-Fi プロファイルを列挙したり、ネットワーク情報を取得するアクションも行われることがあります。
- 持続化・ステルス行動
- スケジュールタスク、プロセスの隠蔽、正規プロセスの利用、除外設定、プロセスインジェクション等で除去・検知を回避しながら長期間潜伏する可能性があります。
Stealerium による被害リスクの深刻性
Stealerium が持つ機能と実際の運用実態から、被害者にとってのリスクは次のようなものが考えられます。
- アカウント乗っ取り・金銭被害:窃取された認証情報、クッキー、セッション情報、暗号資産ウォレット鍵などによって、銀行口座、SNS アカウント、暗号資産などが直接狙われうる。
- プライバシーの極端な侵害:Web カメラ撮影やスクリーンショット機能によって、被害者の行動・習慣・最もプライベートな瞬間までも記録され、これを悪用して脅迫(セクストーション)される可能性。
- 信用毀損・名誉リスク:脅迫・情報公開により、社会的信用を傷つけられるリスク。被害を公表できず泣き寝入りするケースも考えられる。
- データ流出・第 2 次被害:メール、メッセージ、ファイル、ビジネス情報などの流出により、個人情報保護上のリスクや二次利用被害が発生する可能性。
これらを踏まえると、Stealerium は 単なる “情報を盗むマルウェア” を超えた、より卑劣で被害者を心理的に追い詰める設計 を有していると言えます。
防御・対策方法(個人ユーザーおよび組織向け)
Stealerium のようなマルウェアから身を守るためには、多層防御(ディフェンスインデプス)アプローチが不可欠です。以下では、実践できる対策をレベル別・フェーズ別に整理します。
予防・入口対策(感染を未然に防ぐ)
- 警戒心と啓発(セキュリティ意識向上)
- なじみのないメールの添付ファイルやリンクは容易に開かない。特に「請求書」「支払」「法的通知」などを偽装するメールに注意。
- 不要・疑わしいマクロの有効化を安易に許可しない。
- “緊急性を匂わせる文言” や “差し迫った請求” の誘い文句には慎重になる。
- 社内であればフィッシング訓練やセキュリティ教育を行う。
- メールセキュリティ・ゲートウェイ対策
- 添付ファイルスキャン、リンク先チェック、サンドボックス実行などの機能を持つメールセキュリティ製品を導入。
- メールの送信元、送信ドメイン検証(SPF / DKIM / DMARC)を厳格化。
- メール添付ファイルの拡張子制限や実行可能ファイル(.exe, .js, .vbs など)のブロック。
- ソフトウェア更新とパッチ適用
- OS、ブラウザ、メールクライアント、Office、セキュリティソフトなどを常に最新の状態に保つ。
- 脆弱性を狙う攻撃を防ぐため、不要なサービスを停止・無効化。
- コード実行制限 / アプリケーション制御
- 信頼できないプログラムの実行を制限するホワイトリスト方式(アプリケーション制御)を採用。
- マクロやスクリプトが不正に起動されないよう、Office マクロの制限設定を強化。
- 外部記憶装置の制限
- USB や外部メディアからの実行やオートラン(自動実行)を無効化 / 制御。
検知・阻止対策(侵入後・実行時対応)
- エンドポイントセキュリティ / EDR(Endpoint Detection & Response)
- ウイルス対策ソフトに加え、振る舞い検知型/ヒューリスティック型の検出能力を持つ製品を用いる。
- プロセス挙動の異常(例えば、正規プロセスへの不審な DLL 挿入、プロセス注入、未知のプロセス起動など)をリアルタイム監視する。
- キーロガー検知、スクリーンショット実行の挙動、Web カメラ制御アクセスなどを監視。
- ネットワークモニタリング / IDS・IPS
- 不正な外部通信(特定の Webhook、Telegram API、外部ファイルサーバなど)をブロック・アラート検知。
- 通信内容の異常(大量データ送信、未知サイトへの通信)を監視。
- “netsh wlan” などのコマンド実行ログ監視や異常アクションの検出。
- ログ収集・相関分析 / SIEM
- 各種ログ(システムログ、アプリケーションログ、プロセスログ、ネットワークログなど)を集中管理し、異常検知ルールとアラートを設定。
- たとえば “予期しないプロセスがスクリーンショットを取る動作” や “Web カメラ起動” ログを検知する。
- アクセス権限の最小化 / 特権アカウント分離
- 普段の操作は権限を絞ったアカウントで行い、管理者権限を用いるのは限定的に。
- 特権操作と日常操作を物理的・論理的に分離。
- リスクを抑えるための物理的手段
- Web カメラやマイクを使用しないときはカバーを付ける、物理的に遮断する。
- 不要時は Web カメラドライバを無効化 / 取り外す。
感染後・被害後対応
- 隔離と初動対応
- 感染が疑われる端末は直ちにネットワークから切り離す。
- 可能なら電源を落とさずにメモリダンプ・プロセス状態の取得。その後、フォレンジック調査を行う。
- 感染ファイル、実行履歴、レジストリ変更、スケジュールタスク、プロセスリスト、通信ログなどを収集。
- 駆除と復旧
- 信頼できるセキュリティツール・マルウェア除去ツールを用いてマルウェアを除去。
- OS のクリーンインストールを検討(マルウェアの残存リスクを排除するため)。
- 重要データのバックアップがあれば、バックアップから改ざんされていないバージョンを用いて復旧。
- パスワード・鍵の変更
- 影響を受えそうなすべてのアカウント(メール、SNS、銀行、暗号資産ウォレットなど)のパスワードを直ちに変更。
- 二段階認証(2FA / MFA)を有効化していないサービスにはすぐに導入。
- 通知・報告
- 組織内であれば情報セキュリティ部門や CSIRT / SOC に報告。
- 個人であれば関係するサービス運営者、警察(サイバー犯罪担当)や消費者センターなどに被害届や相談。
- 被害内容によっては信用機関、銀行、不正利用監視機関などへの届出。
- 継続的モニタリングと再発防止
- 駆除後も再度感染がないか監視を継続。ログ、通信、システム挙動を注視。
- システム構成、セキュリティ設定、ユーザ教育を見直して脆弱点をつぶす。
特に注意すべきポイント・補足
- Stealerium はオープンソースである点が、攻撃者にとって改変や再利用を容易にさせているという特性があります。したがって、シグネチャベースの対策だけでは追従しきれない亜種が出現するリスクがあります。
- 特に “Web カメラ撮影 + スクリーンショット” という機能は心理的な圧迫・脅迫に用いられるリスクが高く、被害者が公表できずに隠蔽されやすい形式の攻撃とされています。
- 定期的なバックアップと仮復旧戦略を持っておくことが、万が一の被害時のダメージを最小化します。
- 特に仮想環境やサンドボックス、デバッグ環境下で動作を抑えるようなコードが含まれているという報告もあるため、未知のマルウェアを調査・検知する難しさがあります。
- 影響範囲は個人から中小企業〜大企業まであり得ます。特権アカウントを狙う、横展開を目論む可能性もあるので、組織ではネットワーク的・権限的な分離(セグメンテーション)も重要です。