USB経由で拡散する暗号通貨ウォレット乗っ取りマルウェアの脅威と対策

暗号資産を保有するWindowsユーザーにとって、USBメモリ経由で感染する新たなマルウェアが重大な脅威となっている。2026年2月以降に確認されたトロジャン型マルウェアは、USBメモリを介して拡散し、クリップボードを監視して秘密鍵や送金先アドレスを窃取するだけでなく、送金時に自動的に攻撃者のウォレットアドレスに差し替える機能を持つ。マイクロソフトによれば、このマルウェアは.lnkショートカットファイルを悪用して感染を広げ、Torネットワークを経由してデータを窃取する。ユーザーは、AutoRunの無効化やUSBメディア上での.lnkファイル実行制限、スクリプトホストのブロックなどの対策を直ちに講じる必要がある。

USBメモリを足がかりとした巧妙な感染経路

このマルウェアは、USBメモリが接続された際に自動実行されるショートカットファイル（.lnk）を悪用する。感染したUSBメモリを清潔なPCに挿入すると、.lnkファイルが実行され、バックグラウンドでマルウェアがインストールされる仕組みだ。特に注意が必要なのは、USBメモリ内のファイルが見た目上は正常なドキュメントファイルに偽装されている点だ。例えば、仕事資料.docx.lnkというファイル名で表示されるが、実際には実行ファイルへのショートカットであり、クリックすることでマルウェアが起動する。

感染拡大のメカニズムとして、マルウェアはUSBメモリ内のファイルを置き換える手法を用いる。清潔なUSBメモリに感染したPCを接続すると、USBメモリ内のファイルがマルウェアによって.lnkファイルに置き換えられ、次にそのUSBメモリを別のPCに接続した際に感染が広がる。このような「 USBワーム 」の特性により、一度感染が始まると、社内ネットワークや個人間のファイル交換を通じて急速に拡散する可能性がある。特に、企業や組織内でUSBメモリが頻繁に使用される環境では、感染リスクが高まるため、迅速な対応が求められる。

クリップボード監視とウォレットアドレスのすり替え

マルウェアが最も巧妙なのは、クリップボードを常時監視し、ユーザーがコピー＆ペーストする情報を逐一チェックする点だ。具体的には、暗号資産のウォレットアドレスや秘密鍵、シードフレーズといった機密情報がクリップボードにコピーされた際に、それらのデータを窃取する。さらに、暗号資産の送金先アドレスがクリップボードにコピーされた際には、マルウェアが自動的にそのアドレスを攻撃者のウォレットアドレスに書き換える。

このような「クリップボードハイジャック」機能により、ユーザーが送金先アドレスを間違いなく入力したと思っていても、実際には攻撃者のウォレットに送金されることになる。例えば、ユーザーが取引所のウォレットアドレスをコピーして送金手続きを行った場合、マルウェアがそのアドレスを書き換えることで、資金が攻撃者の口座に流れてしまう。この被害は、一度送金が実行されると取り消しが不可能な暗号資産の性質上、極めて深刻な問題となる。

窃取されたデータはTorネットワークを経由して攻撃者のサーバーに送信される。Torを利用することで、攻撃者の位置や通信経路を隠蔽し、捜査当局による追跡を困難にしている。また、マルウェアは感染したPC内で動作するスクリプトや実行ファイルを悪用して、システム内に潜伏し続けることも可能だ。そのため、一度感染すると完全な駆除が難しく、再発のリスクも高い。

既知の侵害指標（IOC）とネットワーク監視の重要性

マイクロソフトは、このマルウェアに関連する既知の侵害指標（IOC）を公開している。IOCには、マルウェアが使用するドメイン、IPアドレス、ファイルハッシュ、レジストリキーなどが含まれる。企業や組織は、これらのIOCを基に、社内ネットワークやエンドポイントの監視を強化し、感染の兆候を早期に検知することが重要だ。例えば、Torネットワークへの不審な通信や、.lnkファイルの実行ログ、クリップボード監視の痕跡などを監視することで、感染の可能性を判断できる。

また、ネットワークレベルでの対策として、ファイアウォールや侵入検知システム（IDS）を活用して、マルウェアの通信をブロックすることも有効だ。特に、Torネットワークへのアウトバウンド通信を制限することで、データの窃取を防ぐことができる。さらに、エンドポイントセキュリティ製品を導入し、リアルタイムでのマルウェア検知と自動隔離を実施することで、被害の拡大を最小限に抑えることが可能だ。

Windowsシステム固有の脆弱性とAutoRunのリスク

このマルウェアはWindowsシステムのAutoRun機能やショートカットファイルの実行に依存しているため、Windows固有の脆弱性が悪用されている。Windowsでは、USBメモリを接続した際に自動的に.lnkファイルや実行ファイルが起動するAutoRun機能がデフォルトで有効になっている。この機能を悪用することで、ユーザーが意図せずにマルウェアを実行してしまうリスクがある。

マイクロソフトは、AutoRun機能を無効化することを推奨している。具体的には、グループポリシーを使用してAutoRunを無効化したり、レジストリエディタを用いてAutoRun機能を無効にする設定を行うことができる。また、USBメモリ内の.lnkファイルを実行しないようにするために、グループポリシーで.lnkファイルの実行を制限することも有効だ。これらの設定により、USBメモリ経由の感染リスクを大幅に低減することができる。

さらに、スクリプトホスト（wscript.exeやcscript.exe）をブロックすることも重要だ。スクリプトホストが悪用されると、マルウェアがスクリプトファイルを実行し、システムに侵入する可能性がある。そのため、スクリプトホストの実行を制限することで、マルウェアの活動を抑制することができる。

実務現場で取り組むべき具体的な対策

企業や組織においては、まず従業員に対するセキュリティ教育を徹底することが重要だ。USBメモリの取り扱いに関するルールを策定し、従業員に対して定期的な研修を実施することで、感染リスクを低減することができる。例えば、信頼できないUSBメモリを使用しないこと、USBメモリを接続する際には必ずウイルススキャンを実施すること、見知らぬファイルを開かないことなどの基本的なルールを徹底する。

また、USBメモリの使用を制限するために、社内の端末にUSBポートを物理的に封鎖するか、USBメモリの使用を許可する端末と許可しない端末を分けることも有効だ。特に、重要な業務を行う端末やサーバーにはUSBメモリの使用を禁止することで、感染リスクを最小限に抑えることができる。さらに、USBメモリの代替手段として、クラウドストレージやネットワーク共有を活用することで、USBメモリの使用頻度を減らすことも検討すべきだ。

個人ユーザーにとっても、同様の対策が必要だ。まず、信頼できないUSBメモリを使用しないことが基本だ。また、USBメモリを接続する際には必ずウイルススキャンを実施し、不審なファイルを開かないようにする。さらに、クリップボードを監視するマルウェアの被害を防ぐために、暗号資産の送金先アドレスを手動で入力することや、アドレスをコピー＆ペーストしないことも有効な対策となる。

今後注視すべき動向と長期的なセキュリティ戦略

このマルウェアの登場は、暗号資産を狙うサイバー犯罪がますます巧妙化していることを示している。今後、同様の手法を用いたマルウェアがさらに増加する可能性があり、特にUSBメモリを介した感染経路は、企業や組織にとって引き続き大きな脅威となるだろう。そのため、セキュリティ対策を継続的に見直し、最新の脅威に対応することが不可欠だ。

長期的なセキュリティ戦略として、ゼロトラストセキュリティモデルの導入が検討される。ゼロトラストモデルでは、ネットワーク内外を問わず、すべてのアクセス要求を検証し、許可されたユーザーやデバイスのみがリソースにアクセスできるようにする。このモデルを導入することで、たとえマルウェアに感染したとしても、被害の拡大を防ぐことができる。

また、エンドポイント検知・対応（EDR）ソリューションの導入も重要だ。EDRソリューションは、エンドポイント上での異常な挙動を検知し、リアルタイムで対応することができる。これにより、マルウェアの活動を早期に発見し、被害を最小限に抑えることが可能だ。さらに、サンドボックス環境を活用して、新たなマルウェアの振る舞いを分析し、迅速に対策を講じることも重要だ。

まとめ：迅速な対応と継続的な監視が鍵

USBメモリ経由で拡散する暗号資産狙いのトロジャンマルウェアは、クリップボードの監視とウォレットアドレスのすり替えという巧妙な手法で被害を拡大させている。感染経路としてUSBメモリを悪用することで、企業や組織内に急速に拡散するリスクがあり、一度感染すると被害の回復が困難な場合が多い。そのため、AutoRunの無効化、.lnkファイルの実行制限、スクリプトホストのブロック、ネットワーク監視の強化など、多層的な対策を講じることが不可欠だ。

ユーザー個人においても、USBメモリの取り扱いに注意を払い、暗号資産の送金時にはアドレスの手動入力や二重確認を徹底することが重要だ。また、企業や組織は、従業員に対するセキュリティ教育を強化し、USBメモリの使用制限や代替手段の導入を検討する必要がある。今後、暗号資産を狙うサイバー犯罪はますます高度化することが予想されるため、セキュリティ対策を継続的に見直し、最新の脅威に対応することが求められる。