USB経由で拡散するクリプトクリッパー型マルウェア、Microsoftが警告

Microsoftの脅威インテリジェンスチームは、Windowsユーザーに対し、USBメモリ経由で拡散するクリプトクリッパー型マルウェアについて警告を発表した。このマルウェアは2026年2月頃から活動が確認されており、単なる暗号資産の窃取にとどまらず、リモートコード実行機能を備える「軽量バックドア」として機能する点が特徴だ。攻撃者はクリップボードの監視と置き換え、スクリーンショットの送信、Torネットワーク経由のコマンド＆コントロール（C2）通信を組み合わせることで、被害者の暗号資産を奪うだけでなく、感染端末に持続的なアクセスを確立できる。従来のインストーラーを必要とせず、IPベースのインフラにも依存しないため、検知が難しい。

このマルウェアは、クリップボードからBIP39シードフレーズやBitcoin・Ethereumの秘密鍵など「高価値な財務関連データ」を収集する。さらに、コピーされたウォレットアドレスを攻撃者のものに置き換える「クリッパー」機能を持ち、ユーザーが送金しようとすると気付かないうちに資金が奪われる。また、Windowsの「ドキュメント」フォルダーに難読化されたJavaScriptペイロードを2つ展開し、ワーム機能とステーラー機能それぞれにスケジュールタスクを作成する。これにより、感染端末内でマルウェアが自律的に活動し、USBメモリを介して他の端末へと拡散する。

さらに悪質なのが、マルウェアが被害者の端末にTorクライアントを秘密裏にインストールし、ファイル名を「ugate.exe」に偽装する点だ。このTorクライアントを介して、攻撃者は「.onion」アドレスで運営される隠しC2サーバーと通信を行う。この通信経路は暗号化されており、通常のネットワーク監視では検知が困難だ。Microsoftによれば、このマルウェアは「TorによるC2通信」「クリップボード監視」「スクリーンショット送信」「リモートコード実行」を組み合わせることで、即時的な金銭的利益と同時に、感染端末の恒久的な制御を実現しているという。

クリプトクリッパー型マルウェアの進化：単なる窃盗からバックドアへ

従来のクリプトクリッパー型マルウェアは、主にクリップボードのウォレットアドレスを置き換えることで暗号資産を奪う「クリッパー」機能に特化していた。しかし、今回のマルウェアは、その機能を「バックドア」へと進化させている点が大きな違いだ。Microsoftはこれを「財務目的のステーラーが軽量バックドアへと変貌した」と表現している。つまり、当初は暗号資産の窃取を目的としていた攻撃が、感染端末への持続的なアクセス手段として悪用される可能性が生じたということだ。

この進化により、攻撃者は単に資金を奪うだけでなく、ランサムウェアの展開、内部データの窃取、さらには他のマルウェアの二次感染など、より広範な攻撃を実行できるようになる。特に、企業ネットワーク内でこのマルウェアに感染した端末があれば、そこからラテラルムーブメント（横方向への拡散）が行われ、組織全体が被害を受ける可能性がある。そのため、このマルウェアは個人ユーザーだけでなく、企業のセキュリティ担当者にとっても深刻な脅威となっている。

また、マルウェアがTorネットワークを介してC2サーバーと通信する点も、従来のマルウェアとの大きな違いだ。Torを利用することで、攻撃者は自身の居場所を隠しつつ、感染端末からの通信を暗号化された経路で行うことができる。これにより、ファイアウォールや侵入検知システム（IDS）などの従来のセキュリティツールでは検知が困難になっている。加えて、マルウェアがWindowsのスケジュールタスクを悪用して活動するため、ユーザーが直接実行ファイルを起動しなくても、システムの裏側で自動的に活動を開始する点も見逃せない。

USBメモリ経由の拡散メカニズム：自律的なワーム機能

このマルウェアの拡散メカニズムは、USBメモリを介した「ワーム」機能に特徴がある。感染端末にUSBメモリが接続されると、マルウェアはそのUSBメモリ内のファイルをスキャンし、実行可能なファイルやショートカットを偽装したファイルを作成する。例えば、見慣れたファイル名のショートカットを作成し、それをクリックさせることで、ユーザーが知らないうちにマルウェアを実行させる。この手法は「ショートカットファイル（LNKファイル）を悪用した攻撃」として知られており、古典的な手法だが、いまだに効果を発揮している。

さらに、マルウェアはUSBメモリ内のファイルを隠蔽し、見た目は同じでも中身がマルウェアに置き換えられたファイルを表示する。これにより、ユーザーは正規のファイルを操作していると思い込み、マルウェアを実行してしまう。このような「ファイル置き換え」手法は、ユーザーの警戒心を低下させるだけでなく、マルウェアの拡散を加速させる要因となっている。

Microsoftによれば、このワーム機能は「自律的に」動作するため、攻撃者が直接操作することなく、感染が拡大していく。そのため、一度でもこのマルウェアに感染した端末がネットワーク内に存在すると、短期間で複数の端末に感染が広がる可能性がある。特に、USBメモリを頻繁に使用する環境（例えば工場の現場や医療現場など）では、このマルウェアの拡散リスクが高いと考えられる。

クリップボード監視とスクリーンショット送信：暗号資産窃取の具体的手法

このマルウェアは、クリップボードを高頻度で監視し、ユーザーがコピーしたテキストを常にチェックしている。具体的には、BIP39シードフレーズやBitcoin・Ethereumの秘密鍵、ウォレットアドレスなどの「高価値な財務関連データ」がコピーされると、それらを直ちに攻撃者のサーバーへ送信する。さらに、マルウェアは定期的に端末のスクリーンショットを撮影し、その画像データも攻撃者に送信する。スクリーンショットには、ユーザーが入力中のパスワードや、ウォレットの管理画面、取引所のWebインターフェースなどが含まれる可能性があり、これらのデータはマルウェアの二次的な攻撃に悪用される。

特に、BIP39シードフレーズは暗号資産のウォレットを復元するための重要な情報であり、これが盗まれるとウォレット内のすべての資産が失われる可能性がある。また、秘密鍵が盗まれた場合も同様に、資産の窃取が行われる。そのため、このマルウェアは暗号資産ユーザーにとって非常に危険な存在となっている。

さらに、マルウェアはクリップボード上のウォレットアドレスを攻撃者のアドレスに置き換える「クリッパー」機能を持っている。例えば、ユーザーが取引所から自分のウォレットアドレスをコピーしてペーストしようとすると、マルウェアがそれを攻撃者のアドレスに書き換える。その結果、ユーザーが送金した資金は、攻撃者のウォレットに直接送られてしまう。この手法は、ユーザーが送金操作を行うたびに実行されるため、気付かれにくいという特徴がある。

Torネットワークを悪用したC2通信：検知回避の仕組み

このマルウェアは、Torネットワークを介してC2サーバーと通信を行うことで、セキュリティツールによる検知を回避している。Torはもともとプライバシー保護を目的としたネットワークだが、マルウェアの作者はこれを悪用し、感染端末からの通信経路を隠蔽している。具体的には、マルウェアは被害者の端末にTorクライアントをインストールし、ファイル名を「ugate.exe」に偽装する。この名前は「ユーザーゲートウェイ」を連想させるため、システム管理者やセキュリティツールが見過ごしてしまう可能性がある。

Torを利用することで、攻撃者はC2サーバーのIPアドレスを隠し、感染端末からの通信を暗号化された経路で行うことができる。そのため、従来のネットワークベースのセキュリティツール（ファイアウォール、侵入検知システム、プロキシサーバーなど）では、この通信を検知することが難しくなっている。加えて、C2サーバーは「.onion」アドレスで運営されているため、インターネット上で直接アクセスすることもできない。これにより、攻撃者はより長期間にわたって活動を続けることが可能となっている。

また、Torを介した通信は、C2サーバーとのコマンドの送受信だけでなく、スクリーンショットの送信や、リモートコード実行の指示などにも使用される。そのため、攻撃者は感染端端末に対して柔軟な操作を行うことができる。例えば、ランサムウェアの展開や、内部データの窃取、さらには他のマルウェアのダウンロードなど、さまざまな攻撃を実行できる。

リモートコード実行機能：感染端末の完全制御につながる脅威

このマルウェアの最も危険な機能の一つが、リモートコード実行（RCE）機能だ。これにより、攻撃者は感染端末上で任意のコードを実行することができる。具体的には、攻撃者はC2サーバーを介してマルウェアに対してコマンドを送信し、そのコマンドを実行させる。この機能により、攻撃者は感染端末の完全な制御を奪うことが可能となる。

例えば、攻撃者は感染端末に対してランサムウェアを展開するコマンドを送信し、ファイルを暗号化させることができる。また、内部データを窃取するためのスクリプトを実行させたり、他のマルウェアをダウンロード・実行させたりすることも可能だ。さらに、感染端末をボットネットの一部として悪用し、他の攻撃の踏み台にすることもできる。

リモートコード実行機能は、単に暗号資産を奪うだけでなく、感染端末を長期間にわたって悪用するための重要な機能となっている。そのため、このマルウェアに感染した場合、個人ユーザーであっても、企業ユーザーであっても、迅速な対応が求められる。特に、企業ネットワーク内でこのマルウェアに感染した端末があれば、そこからラテラルムーブメントが行われ、組織全体が被害を受ける可能性がある。

対策と予防：個人ユーザーと企業が取るべき具体的な措置

このマルウェアから身を守るためには、個人ユーザーと企業の両方が具体的な対策を講じる必要がある。まず、個人ユーザーは、USBメモリを介した感染リスクを最小限に抑えるために、以下の対策を実施すべきだ。

1. USBメモリの取り扱いに注意：信頼できないUSBメモリを使用しない。特に、公共の場で拾ったUSBメモリや、知人から借りたUSBメモリを使用する際は注意が必要だ。また、USBメモリを介した自動実行機能を無効にする設定（Windowsの「自動再生」機能を無効化）を行う。
2. クリップボードの監視：暗号資産のウォレットアドレスや秘密鍵をコピーする際は、画面上で正しいアドレスが表示されていることを確認する。また、クリップボードの内容を常に監視するツールを導入することで、不正な置き換えを検知できる。
3. セキュリティソフトの導入と更新：最新のセキュリティソフトを導入し、定期的に更新する。また、マルウェア検知機能が有効になっていることを確認する。特に、Torクライアントのような正規のソフトウェアに偽装されたマルウェアを検知するためには、振る舞い検知機能を備えたセキュリティツールが有効だ。
4. ネットワークの監視：家庭用ルーターやファイアウォールのログを定期的に確認し、不審な通信がないか監視する。Torを介した通信が検知された場合は、直ちに対応する。

企業の場合は、以下の対策を実施すべきだ。

1. USBメモリの使用制限：企業ネットワーク内でのUSBメモリの使用を制限する。例えば、USBメモリの自動実行機能を無効化し、信頼できる端末のみで使用を許可する。また、USBメモリのスキャンを実施し、マルウェアが含まれていないことを確認する。
2. エンドポイントセキュリティの強化：エンドポイントセキュリティソフトを導入し、振る舞い検知機能を有効化する。また、定期的なセキュリティパッチの適用とシステムのアップデートを実施する。
3. ネットワーク分離と監視：企業ネットワークをセグメント化し、感染拡大のリスクを最小限に抑える。また、ネットワークトラフィックを監視し、Torを介した通信や不審なC2通信を検知する。
4. 従業員教育：従業員に対し、USBメモリを介したマルウェアの拡散リスクや、クリップボード監視の危険性について教育を実施する。特に、暗号資産の取り扱いに関するセキュリティ意識を高めることが重要だ。

今後の動向と注目点：マルウェアの進化に対する警戒

このクリプトクリッパー型マルウェアは、従来の単純な窃取型マルウェアから、より高度なバックドア機能を備えたマルウェアへと進化している。そのため、今後も同様の手法を用いたマルウェアが出現する可能性が高い。特に、暗号資産市場の拡大に伴い、暗号資産を狙った攻撃はますます増加すると予想される。

また、このマルウェアがTorネットワークを悪用している点も注目すべきだ。Torを介した通信は、セキュリティツールによる検知を回避するためにますます利用されるようになると考えられる。そのため、セキュリティベンダーは、Torを悪用したマルウェアの検知技術を強化する必要がある。

さらに、このマルウェアがリモートコード実行機能を備えている点も見逃せない。これにより、攻撃者は感染端末を長期間にわたって悪用することが可能となっている。そのため、マルウェアに感染した場合は、迅速な対応とシステムの隔離が求められる。

今後、このようなマルウェアの進化に対抗するためには、セキュリティベンダーとユーザーの双方が協力し、新たな脅威に対する対策を講じることが重要だ。特に、振る舞い検知機能を備えたセキュリティツールの導入や、ネットワークの監視強化、従業員教育の徹底など、包括的なセキュリティ対策を実施することが求められる。また、暗号資産ユーザーは、ウォレットの管理方法やセキュリティ対策について再確認し、常に最新の脅威に対する警戒を怠らないことが重要だ。