米国のテックメディアArs Technicaの報告によると、Microsoftは自己増殖能力を持つ新たなマルウェア「Crypto Clipper」の存在を確認しました。このマルウェアはUSBドライブを介して拡散し、デバイスのクリップボードを監視して仮想通貨のウォレットアドレスやシードフレーズを盗み出すほか、スクリーンショットを撮影して匿名通信プロトコルTor経由で攻撃者のサーバーへ送信します。従来のマルウェアとは異なる軽量かつ巧妙な手口が特徴で、仮想通貨ユーザーにとって新たな脅威となっています。
Crypto Clipperの巧妙な窃取手口
Crypto Clipperは、その名の通り、デバイスのクリップボード(clipboard)を監視し、仮想通貨関連の情報を「クリップ」(clip)して窃取する点が特徴です。Microsoftの分析によって、その具体的な挙動が明らかになっています。
USBドライブを介した自己増殖と感染経路
このマルウェアは、USBドライブに保存された「.lnk」ファイルを利用して拡散します。感染したUSBドライブがデバイスに接続されると、マルウェアは自身のインストール状況を確認し、未インストールの場合はTorプロキシを通じてダウンロードされます。さらに、自身が感染した痕跡を隠蔽するため、USBドライブ内の既存ファイルと似た名前の「.lnk」ファイルを生成する巧妙な仕組みも備えています。
クリップボード監視と仮想通貨の横取り
Crypto Clipperの主な機能は、クリップボードの内容を継続的に監視することです。特に、仮想通貨のウォレットアドレスや12〜24単語のシードフレーズといったパターンに合致する情報が検出されると、それを攻撃者のサーバーへ送信します。さらに悪質なのは、ユーザーがコピーした正規のウォレットアドレスを、攻撃者が管理するウォレットのアドレスに自動的に置き換える機能です。これにより、ユーザーが仮想通貨を送金しようとした際、意図せず攻撃者のウォレットに資金が送られてしまうリスクがあります。
匿名通信Torとスクリーンショットの悪用
窃取した情報やスクリーンショットは、匿名通信プロトコルであるTorネットワークを通じて攻撃者に送られます。Torは、通信経路を複数のノードを経由させることで、送信元と受信元のIPアドレスを特定されにくくする特性があります。Crypto ClipperはこのTor接続をSOCKS5プロキシを介して確立し、データの匿名性を確保しています。また、10秒間に5枚のスクリーンショットを撮影し、窃取した情報がどのような文脈で利用されていたかを攻撃者が把握するための「状況証拠」として役立てているとみられています。
軽量バックドアとしての機能
Microsoftは、Crypto Clipperが「軽量バックドア」としての側面も持つと指摘しています。従来のマルウェアのように複雑なインストーラーや固定のコマンド&コントロール(C2)インフラに依存せず、ポータブルなTorクライアントとローカルのSOCKS5プロキシを組み合わせることで、データ窃取だけでなくリモートコード実行も可能にしています。これにより、攻撃者は資金窃取だけでなく、感染デバイスに対する継続的な制御も手に入れることができます。
Microsoftによる検出と対策
Microsoftは、自社のセキュリティ製品である「Microsoft Defender for Endpoint」において、Crypto Clipperの構成要素を「疑わしいJavaScriptプロセス」や「Curlを使用したデータ流出の可能性」として検出しています。また、「Microsoft Defender Antivirus」では「Trojan: Win32/CryptoBandits.A」として認識されます。
一般的な感染の兆候としては、スクリプトインタープリターが疑わしい子プロセスを生成している、localhost:9050でプロキシが使用されている、PowerShellでスクリーンキャプチャコマンドが実行されている、クリップボードの検査や仮想通貨アドレスの置き換えの形跡が見られる、といった点が挙げられます。
【管理人の視点】日本のユーザーが知るべきこと
この「Crypto Clipper」は、USBドライブという身近な媒体を通じて広がるため、日本国内のユーザーにとっても決して他人事ではありません。特に、仮想通貨を扱っている方々は警戒が必要です。
- USBデバイスの取り扱いへの注意:出所不明なUSBメモリを安易にPCに接続しないことが基本中の基本です。また、信頼できるデバイスであっても、常に最新のセキュリティソフトでスキャンする習慣をつけるべきでしょう。
- 仮想通貨取引時のクリップボード利用:ウォレットアドレスなどをコピー&ペーストで利用する際は、必ずペースト後にアドレスが正しく貼り付けられているか、目視で確認する習慣が重要です。特に送金前には、数文字でもいいので再確認を徹底してください。
- 匿名通信Torの悪用:Torは匿名性を高めるためのツールですが、今回のようにマルウェアの通信経路として悪用されることで、攻撃者の追跡を困難にしています。これにより、被害の拡大や攻撃者の特定が遅れる可能性があります。
- セキュリティソフトの導入と更新:Microsoft Defenderをはじめとするセキュリティソフトは、このような新たな脅威に対応するため、常に最新の状態に保つことが不可欠です。OSのアップデートも同様に重要です。
- 多要素認証の活用:仮想通貨取引所などでは、パスワードだけでなく多要素認証(2FA)を必ず設定し、万が一マルウェアによって情報が盗まれても、不正アクセスを困難にする対策を講じましょう。
このような軽量で巧妙なマルウェアは、従来のセキュリティ対策の盲点を突いてくる可能性があります。常に最新の脅威情報を把握し、基本的なセキュリティ習慣を徹底することが、自身の資産を守る上で極めて重要となります。
まとめ
Microsoftが発見した新種のマルウェア「Crypto Clipper」は、USBドライブを介した自己増殖、クリップボード監視による仮想通貨アドレスの窃取と置き換え、そしてTorネットワークを利用した匿名通信という、複数の巧妙な手口を組み合わせた脅威です。従来のマルウェアに依存しない軽量なバックドア機能も持ち合わせ、攻撃者に継続的な制御と金銭的な利益をもたらします。
このマルウェアの登場は、仮想通貨ユーザーだけでなく、一般のPC利用者にもUSBデバイスの取り扱いに関する注意喚起を促すものです。セキュリティソフトの導入と最新状態の維持、そして仮想通貨取引時のクリップボード内容の厳重な確認など、基本的な対策を徹底することで、新たな脅威から身を守ることが可能となります。
情報元:Ars Technica
