マルウェア「Lumma」ってどんなもの？感染経路や対策は？

「Lumma（ルンマ）」は、「Lumma Stealer」または「LummaC2」としても知られる、非常に悪名高い情報窃取型マルウェアです。これはサイバー犯罪者向けの「サービスとしてのマルウェア（MaaS）」として提供されており、アンダーグラウンドのフォーラムやTelegramなどを通じて流通しています。

Lummaは、その汎用性と検出の困難さから、サイバー犯罪者の間で非常に人気があります。最近、国際的な法執行機関とマイクロソフトなどの民間企業が連携し、Lummaのインフラストラクチャを大規模に遮断する作戦が展開されましたが、サイバー犯罪者は新たな手法を模索し続けるため、依然として注意が必要です。

以下にLummaの特徴をまとめます。

Lummaの特徴

• 情報窃取能力:
  • ブラウザに保存されたパスワード、クッキー、自動入力データなどの認証情報を盗みます。
  • 暗号通貨ウォレットのデータや、特定の種類のファイル（.txt, .pdfなど、機密情報が含まれる可能性のあるもの）を標的にします。
  • システムに関する情報（IPアドレス、OSバージョンなど）も収集します。
• 配布方法:
  • ソーシャルエンジニアリングの手法が主に用いられます。
  • YouTubeチャンネル、GitHubのコメント、偽のCAPTCHAサイト、悪意のあるリンクや添付ファイルを含むフィッシングメールなど、多様な経路で拡散されます。
  • Malware-as-a-Service（MaaS）として販売されているため、比較的簡単に悪用できます。
• 技術的な特徴:
  • 検出を回避するための高度な難読化技術（LLVMコア、制御フロー平坦化、APIハッシュ解決、アンチサンドボックス技術など）が用いられています。
  • 非永続型ローダーを搭載しており、追加のペイロード（EXE、DLL、PowerShellなど）を配信する能力があります。
  • 盗んだ情報は、Telegramなどのサービスを通じて攻撃者のコマンド＆コントロール（C2）サーバーに送信されます。
• 標的:
  • 一般のユーザーから企業、教育機関まで、幅広い対象が狙われます。
  • 特に、認証情報や金融資産を盗むことを目的としています。
• 影響:
  • 個人情報の漏洩、口座への不正アクセス、金銭的被害など、深刻な被害をもたらします。
  • 大規模なサイバー犯罪キャンペーンに利用されることもあり、過去には数百万台ものシステムが感染したとされています。

対処方法

Lummaのような情報窃取型マルウェアから身を守るためには、以下の対策が有効です。

• セキュリティソフトの導入と更新: 信頼できるアンチウイルスソフトやEDR（Endpoint Detection and Response）ツールを導入し、常に最新の状態に保つ。
• 多要素認証（MFA）の利用: 重要なアカウントには必ず多要素認証を設定し、セキュリティを強化する。
• パスワード管理: ブラウザにパスワードを保存せず、専用のパスワードマネージャーを使用する。定期的にパスワードを変更し、使い回しを避ける。
• OSとソフトウェアの更新: オペレーティングシステム、ブラウザ、その他のソフトウェアを常に最新の状態に保ち、既知の脆弱性を悪用されるのを防ぐ。
• 不審なファイルやリンクに注意: メールやウェブサイト上の不審な添付ファイルやリンクは開かない。ダウンロードする際は、その信頼性を慎重に確認する。
• PowerShellなどのスクリプト実行制限: 管理者以外のユーザーに対してPowerShellなどのスクリプト実行を制限するか、制限付き言語モードを使用する。
• DNSフィルタリングとネットワーク監視: 悪意のあるドメインへの接続をブロックし、不審なネットワーク通信を監視する。
• 従業員へのセキュリティ教育: 組織全体でセキュリティ意識を高めるための訓練を実施する。

Lummaは常に進化しており、新たな配布方法や回避技術を導入してきます。そのため、最新の脅威情報に常に注意を払い、継続的にセキュリティ対策を強化することが重要です。