サイバー犯罪の「いたちごっこ」：Lumma情報窃取マルウェアが復活

39万5千台のコンピューターを感染させた情報窃取マルウェア「Lumma」が、国際的な摘発作戦からわずか数か月で復活を遂げた。これは現代のサイバー犯罪対策が直面する根本的な課題を浮き彫りにしている。

摘発から復活まで：わずか9か月の軌跡

昨年5月、FBIを中心とした国際法執行機関連合は、Lumma Stealerのインフラに対する大規模な作戦を実行した。2,300のドメイン、コマンド・アンド・コントロールサーバー、そして犯罪マーケットプレイスが押収された。この作戦により、2022年からロシア語圏のサイバー犯罪フォーラムで活動していたLummaの勢いは一時的に削がれたかに見えた。

Lummaは、クラウドベースの「マルウェア・アズ・ア・サービス」モデルを採用し、無料のクラックソフトウェア、ゲーム、海賊版映画を餌にした釣りサイトから、被害者の認証情報や機密ファイルを窃取していた。プレミアム版は2,500ドルで販売され、2024年春には犯罪フォーラムで2万1千以上の取引が確認されていた。

しかし、研究者らは今週、Lummaが「大規模に復活」し、検出が困難な新たな攻撃手法で活動を再開していると報告した。

「いたちごっこ」の構造的問題

なぜ国際的な摘発作戦にもかかわらず、Lummaは短期間で復活できたのだろうか。答えは現代のサイバー犯罪エコシステムの特性にある。

従来の犯罪組織とは異なり、サイバー犯罪グループは物理的な拠点に依存しない。ドメインが押収されれば新しいドメインを取得し、サーバーが停止されれば別の国のホスティングサービスに移行する。MicrosoftがLummaを「複数の犯罪グループの必須ツール」と評価したように、このマルウェアは単一の組織ではなく、分散したネットワークによって運営されている。

特にScattered Spiderのような巧妙な犯罪グループがLummaを活用していることは、この脅威の深刻さを物語っている。彼らは技術的な革新だけでなく、心理的操作や社会工学的手法も駆使して攻撃を仕掛けてくる。

日本への影響と対策の現実

日本企業にとって、この復活は特に深刻な意味を持つ。ソニー、トヨタ、任天堂などの日本企業は、グローバルなサプライチェーンと膨大な顧客データを抱えており、情報窃取攻撃の格好の標的となりうる。

日本のサイバーセキュリティ戦略は、技術的な防御に加えて、国際協力の重要性を認識している。しかし、Lummaの復活は、単発的な摘発作戦では根本的な解決にならないことを示している。

企業レベルでは、ゼロトラスト・アーキテクチャの導入や従業員教育の強化が急務となっている。しかし、より重要なのは、サイバー犯罪の「ビジネスモデル」そのものを理解し、長期的な対策を講じることかもしれない。