マルウェア
アンダーグラウンド界の内部抗争:情報窃取型マルウェア「Lumma Stealer(Water Kurita)」の提供元を狙った暴露活動の余波
情報窃取型マルウェア「Lumma Stealer(Water Kurita)」は、暴露活動を受けて運営者の情報を晒された後、勢いを失いました。以前の利用者は、他の情報窃取ツールに移行しています。
- アンダーグラウンドで起こった暴露活動により、情報窃取型マルウェア「Lumma Stealer(Water Kurita)」の運営メンバーとされる人物の機密情報が公開されました。これと同じタイミングで、Lumma Stealerの勢いが下降し始めました。
- 暴露活動に続き、Lumma StealerのTelegramアカウントも侵害に遭いました。この後、Lumma Stealerによる新規検体の検知数や、遠隔操作関連の活動頻度が著しく減少しました。
- Lumma Stealerの元利用者は、VidarやStealCを含む代替の情報窃取型マルウェアサービス(MaaS:Malware-as-a-Service)に移行し始めています。一方、関連サービス「Amadey」の活動は減少傾向にあります。
- 他のマルウェア開発者も、Lumma Stealerの失速によって宙に浮いた顧客層を取り囲もうと、しのぎを削っています。こうした動きは、さらなる技術進化を引き起こし、新たな情報窃取型マルウェアの出現を後押しする可能性があります。
はじめに
2025年9月より、情報窃取型マルウェアとして悪名高かったLumma Stealer(トレンドマイクロは「Water Kurita」の名で追跡)の勢いが減衰しはじめ、特に被害エンドポイントの件数や、遠隔操作(C&C:Command and Control)用インフラの活動頻度が著しく減少しました。同じタイミングでアンダーグラウンド界では、Lumma Stealerを狙った「暴露活動」が展開されていました。競合相手が仕掛けたと見られる本活動により、Lumma Stealerの運営情報や、主力メンバーとされる複数名の個人情報が細部に渡って暴露されました。結果としてLumma Stealer側では、インフラや通信体制に大幅な変更が生じています。
一連の動向は、2025年に注目された情報窃取型マルウェアに明確な打撃を与えたという点で、大きな意味を持ちます。従来、サイバー犯罪対策では、法執行機関の介入が決定的な役割を果たしてきました。しかし今回の暴露活動は、サイバー犯罪者同士の内部抗争やネガティブキャンペーンなどに起因すると見られます。運営者情報やインフラ情報の暴露は、内容の真偽に関わらず、Lumma Stealerの存続力を奪い、利用者からの信頼を失墜させ、アンダーグラウドのエコシステムに長期的な影響をもたらす可能性があります。
Lumma Stealerの失速
Lumma Stealerは、情報窃取型マルウェアとしての威力やサポート体制、頻繁なアップデートを武器に犯罪市場を席巻してきました。しかし、アンダーグラウンドで目立った存在となった結果、法執行機関からは主要な捜査対象と見なされ、2025年5月に国際的な摘発作戦を受けました。それにも関わらず、Lumma Stealerの運営者はすぐに再浮上し、インフラを刷新して利用者との取引を復旧させました。結果、2025年6月の時点では攻勢が保たれており、新たなマルウェア検体が続々と出現するなど、運営チームの粘り強さや、サイバー犯罪エコシステムにおける高い需要がうかがわれました。
しかし、9月に入ると様相が一変し、検体の検知数やC&Cの活動頻度が明確に下降し始めました。これに先立ってアンダークラウンド界では、ちょうど、Lumma Stealerの運営陣を標的とする情報暴露の活動が勃発していました。そのために、Lumma Stealerの攻勢は大幅に後退したものと見られます。
経緯
一般公開されている資料やトレンドマイクロの内部テレメトリ情報に基づき、2025年後半に入ってLumma Stealerの運営が崩れていった過程を以下に記します。
2025年9月初旬:トレンドマイクロのテレメトリ情報より、Lumma Stealerに紐づく検体の検知数やC&Cの活動頻度が減少傾向にあることが判明した。
2025年9月17日:Lumma Stealerの公式Telegramアカウントが侵害、または乗っ取られたという報告があがった。
2025年8月下旬~10月:Lumma Stealerの運営に関与したとされる5名の役割分担や個人情報が、ドキシング活動(個人情報などの暴露を目的とする活動)によって暴露された。
- 運用/管理:全体的な運用統括を担う。
- 開発/技術:マルウェアの難読化を目的とした暗号化機能の開発を担う。
- 不明:上記以外の3名について、明確な役割は開示されていない。しかし、入念なドキシングが行われたことから、重要人物だったとみられる。
暴露対象の情報としては、パスポート番号や銀行口座、メールアドレス、各種オンラインプロフィールへのリンクなど、機密性の高いものが多く含まれます。この暴露活動は、脅迫行為に加え、サイバー犯罪コミュニティにおける裏切り行為に対する批判、そして「Lumma Stealerの運営チームが利用者の安全よりも自身の利益を優先した」という非難を伴ったものとなりました。暴露活動の一貫性や入念さを踏まえると、その背景には、内部関係者からの情報提供、またはアカウントやデータベースに対する侵害があったと考えられます。
暴露活動の後、2025年9月17日には、Lumma StealerのTelegramアカウントが侵害されたという報告があがり、利用者との連絡手段や計画の遂行力が一層阻害されることになりました。結果として、先述の通り、Lumma Stealerによる検体の検知数やC&Cインフラの活動頻度が著しく減少しました。状況を踏まえると、重要協力者の離散、信頼の失墜、さらなる暴露への恐れから、Lumma Stealerの運営に大きな支障が発生したと考えられます。
特記事項として、暴露された人物が実際にLumma Stealerの関係者であるという確たる証拠はなく、また、情報の正確性が第三者によって検証されたわけでもありません。この暴露活動は、個人的な恨みや競争心を発端としている可能性もあるため、実行者の特定に際しては慎重な判断が求められます。
アンダーグラウンド・エコシステムへの影響
実行者不明の今回の暴露活動は、Lumma Stealerの勢いを削ぎ落とすと同時に、アンダーグラウンドにおけるマルウェアサービス(MaaS:Malware-as-a-Service)の様相を大きく変化させました。Telegramチャネルやフォーラム上では、以前からLumma Stealerを利用していた人々が、代替の情報窃取ソリューションについて活発に議論しているように見受けられます。代替候補として、主にVidarやStealCなどが挙がっています。Lumma Stealerの不安定さやサポートの欠如を受け、多くのユーザがこうした代替プラットフォームに移行する旨を述べています。
こうした動向は、広域的なエコシステムにも影響を与えています。例えば、情報窃取ツールの配布をサポートする「Amadey」は、PPI(Pay-per-Install:インストール毎に支払いが発生)サービスとして広く利用されてきましたが、Lumma Stealerと同じタイミングで、活動の減少が見られました。これは、情報窃取ツールの配布に絡むサービスの需要が減ったことを示唆しています。
一方、他のマルウェア開発者はこうした状況を好機と捉え、自身のサービスや機能を全面的に売り出し、Lumma Stealerの顧客層を取り込もうとしています。突如生じた機会を活かそうと、さまざまなMaaSプロバイダが広告合戦や技術開発に乗り出し、結果として、回避性能に長けた新型情報窃取ツールの出現が後押しされると予想されます。
まとめ
Lumma Stealerを失速させた暴露活動から示されるように、サイバー犯罪のエコシステムは流動性が強く、例え強大な勢力を持つマルウェアファミリであっても、コミュニティ内抗争や法執行捜査といった内外双方の影響を受け、脆く崩れ去ることがあります。Lumma Stealerは情報窃取型マルウェアとしてトップの地位に躍り出ましたが、それがために、法的捜査の取り締まり対象として、同時にアンダーグラウンドにおける情報暴露の標的として目をつけられるようになりました。Lumma Stealerの後退によって脅威を取り巻く状況が一変し、元の競合相手は、宙に浮いた顧客層を積極的に取り込もうとしています。一連の経緯からは、情報窃取ツールやアンダーグラウンド全般の動向に関する特徴的なパターンがうかがえます。それは、攻撃者としてトップの地位に上り詰めることで、今度は防御者だけでなく、競合相手からの敵対行為にも晒されるということです。
セキュリティ推奨事項
Lumma Stealerのユーザが他の情報窃取ツールに急速に移行していることを踏まえ、防御側では、下記に対する警戒を強めることが推奨されます。
- VidarやStealCなどの古いMaaS:Lumma Stealerの減退を受けて人気が高まりつつある情報窃取型マルウェアについては、その新たな攻撃キャンペーンやインフラ、検体などに対する警戒を強める。
- 新たに出現するMaaSプラットフォーム:新型情報窃取ツールの宣伝状況を監視する。また、アンダーグラウンドで交わされる議論にも目を向け、利用者が好む情報窃取ツールや、その変化を追跡する。
参考記事:
Shifts in the Underground: The Impact of Water Kurita’s (Lumma Stealer) Doxxing
By: Junestherry Dela Cruz
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)