ユーロポール、国際作戦で仮想通貨盗むマルウェア摘発　約75億円相当を凍結

この記事のポイント

326台のサーバーと142ドメインを停止・無効化
StealCはメタマスクのシードフレーズ復号プラグインも提供

マルウェアのインフラ解体で国際作戦

欧州刑事警察機構（ユーロポール）は24日、国際作戦「オペレーション・エンドゲーム」の一環としてインフォスティーラー（情報窃取型マルウェア）のインフラを取り締まり、4,100万ユーロ（約75億円）相当の暗号資産（仮想通貨）を凍結したと発表した。

インフォスティーラーは各種パスワードや仮想通貨ウォレットのデータを盗み出し詐欺やランサムウェア攻撃の温床ともなる。今回、ユーロポールは3種類のマルウェア（SocGholish、Amadey、StealC）の背後にあるインフラを解体した。

作戦には、カナダ、デンマーク、ドイツ、オランダ、英国、米国の法執行機関に加え、マイクロソフトやその他の民間パートナー企業も参加。主な目標は、サイバー犯罪者がランサムウェアの展開、金融詐欺、重要インフラへの攻撃を行うために利用する実行プロセスを寸断することだった。

犯罪に関連する仮想通貨を特定し凍結すると共に、盗まれたログイン認証情報を2,700万件回収。326台のサーバーと142のドメインに対し、停止・無効化などの措置を行った。

こうしたツールを無力化することで、サイバー犯罪者が攻撃を成功させたりマルウェアを拡散させたりすることを困難なものにしている。

また、ユーロポールはレストラン、自動車修理工場、その他のサービス業者を中心とする約1万5,000件の感染ウェブサイトから「SocGholish」を駆除した。

この作戦に協力したマイクロソフトは、5月に2週間調査を行い、その間に世界の14万台以上のコンピュータウイルス感染に「Amadey」や「StealC」が関与していたことを突き止めた。

解説記事：仮想通貨取引所の口座凍結・停止リスク【2026年】予測市場・分散型取引所送金で起きる事例と対策

Polymarketへの送金でbitbankが口座停止措置を発動。海外無登録業者・DEX・予測市場への送金リスクを徹底解説。ウォレット経由でも追跡される仕組み、取引所別スタンス比較、凍結防止チェックリストを掲載。

仮想通貨ウォレットのデータ抜き取りも

3種類のマルウェア「SocGholish」、「Amadey」、「StealC」はいずれも仮想通貨ユーザーにとっても脅威となる。

インフォスティーラー「StealC」は2023年からサービスとして販売されており、感染したマシンからパスワード、ブラウザのクッキー、仮想通貨ウォレットのデータを抜き取る。セキュリティ企業プルーフポイントのリサーチャーによると、イーサリアム系ウォレット「メタマスク」のシードフレーズを復号しようとするプラグインも提供していた。

「Amadey」は攻撃の足掛かりを作り、さらなるマルウェアを送り込む役割を担う。

「SocGholish」は、ロシアの犯罪グループと関連があると報告されており、感染したウェブサイトを通じて偽のブラウザ・アップデートを配布することで、第三者がコンピュータ・システムにアクセスすることを可能にするものだ。主にワードプレスで作成されたサイトをターゲットにしている。

これらのマルウェアが連携することで、仮想通貨ウォレットからの資金流出、アカウント乗っ取り、ランサムウェア被害などの攻撃の土台となっていた。

ユーロポールは、マルウェア対策としてワードプレスのユーザーには多要素認証の導入などを推奨。また、ブラウザに表示されるポップアップや、即時対応を強く促すようなアップデートを安易に信用しないよう注意を促した。こうしたアップデートは見た目が正規のものに見せかけられているとも指摘する。

解説記事：メタマスクの詐欺・ハッキング対策｜アドレスポイズニング等の手口と対処法

メタマスクを狙った詐欺の手口と対策を解説。アドレスポイズニング、偽サポート詐欺、フィッシングなど代表的な手口を紹介し、接続解除やRevokeなど被害を防ぐ具体的な方法も説明します。

CoinPostの特集記事