WebX完全ガイド
TOP
新着一覧
チャート
取引所
WebX
- USBメモリ経由で感染し、送金先アドレスを攻撃者のものに書き換える
- シードフレーズ・秘密鍵も窃取、Tor経由で遠隔操作も可能
送金先を無断書き換え
マイクロソフトのセキュリティ研究チームは17日、仮想通貨ウォレットを標的にしたマルウェアを確認したと発表した。クリップボードに一時保存された送金先のウォレットアドレスを攻撃者のアドレスに書き換え、送金を横取りするタイプで、2026年2月以降に感染が確認されている。
このマルウェアはクリッパーと呼ばれる種類に分類される。仮想通貨を送金する際、ユーザーが宛先アドレスをコピー&ペーストする操作を悪用する。
マルウェアはクリップボードの中身を約500ミリ秒ごとに監視し、ビットコインやイーサリアム、トロンなどのアドレスが検出された瞬間に攻撃者が用意したアドレスへと書き換える。送金前に宛先を目視で確認しなければ、資産が攻撃者のウォレットに届いてしまう。
書き換え対象はビットコインのレガシーアドレス(「1」始まり)、P2SHアドレス(「3」始まり)、タップルートアドレス(「bc1p」始まり)、Bech32アドレス(「bc1q」始まり)、トロンのアドレス(「T」始まり)、モネロのアドレス(「4」または「8」始まり)と幅広い。
シードフレーズ・秘密鍵も窃取
クリップボードの監視はアドレスの書き換えにとどまらない。BIP39規格の12語・24語のシードフレーズや、イーサリアムおよびビットコインWIF形式の秘密鍵がクリップボード上に存在した場合、それらを外部のサーバーに送信する。シードフレーズや秘密鍵が流出すれば、ウォレット内の資産が奪われる可能性がある。
窃取したデータの送信には、匿名通信ネットワークのTor(トーア)が使われる。感染した端末の内部でTorのプロキシサーバーを起動し、攻撃者のサーバーとの通信をすべてTor経由で行う仕組みで、通信先の特定を困難にしている。攻撃者のサーバーからは任意のコードを送り込んで端末上で実行させることも可能で、資産の窃取だけでなく遠隔操作のバックドアとしても機能する。
マイクロソフトによると、感染経路はUSBメモリだ。マルウェアはUSBメモリ内の文書ファイル(.doc・.xlsx・pdf等)を本物に見せかけたショートカットファイル(.lnk)に置き換え、ユーザーがファイルを開く操作で自動実行される。新しいUSBメモリが接続されるたびに同様の仕掛けを施すワーム機能も持ち、感染が広がる。
関連記事:メタマスクの詐欺・ハッキング対策|アドレスポイズニング等の手口と対処法
メタマスクを狙った詐欺の手口と対策を解説。アドレスポイズニング、偽サポート詐欺、フィッシングなど代表的な手口を紹介し、接続解除やRevokeなど被害を防ぐ具体的な方法も説明します。
ユーザーが取るべき対策
マイクロソフトは、送金操作の際は必ずペースト後の宛先アドレスを全桁目視で照合するよう呼びかけた。
クリッパーマルウェアの大半は先頭数文字・末尾数文字だけを元のアドレスと合わせた偽アドレスを使うため、中間部分の確認が特に重要だという。
端末側の対策としては、USBメモリの自動実行(オートラン)を無効化すること、USBメモリからの.lnkファイルの起動をグループポリシーでブロックすること、Windows Script Host(wscript.exe・cscript.exe)の不要な実行を制限することを推奨している。マイクロソフト・ディフェンダーはこのマルウェアを「Trojan:Win32/CryptoBandits.A」として検出するとしている。
CoinPostの特集記事
📊 Investment Guide 資産運用の始め方は?【2026年最新】 → 📈 Stock Guide 仮想通貨関連の株式投資ガイド【2026年最新】 → 🔰 Crypto Guide 仮想通貨の始め方|初心者向け完全ガイド【2026年最新】 → ₿ Bitcoin Guide ビットコイン(BTC)とは?完全ガイド【2026年最新】 → 📚 Ethereum Guide イーサリアム(ETH)とは?完全ガイド【2026年最新】 → 📝 XRP Guide リップル開発XRPとは?完全ガイド【2026年最新】 → 💰 Stablecoin Guide ステーブルコインとは?完全ガイド【2026年最新】 → 💊 Health & Performance 投資家注目の健康サプリ3選 疲労ストレス・睡眠不足・血糖値ケア → 💡 求人情報 国内最大手の仮想通貨メディアCoinPost、新たな人材を募集 →
