人気ゲームMinecraftのプレイヤーを狙った新たなマルウェア「Weedhack」が、YouTubeや検索エンジン最適化(SEO)ポイズニングを通じて拡散していることが明らかになりました。この攻撃は、単なる情報窃取に留まらず、リモートアクセス機能を悪用したサイバーいじめにまで及ぶ深刻な脅威です。さらに、海賊版コンテンツを介して広がる「CountLoader」や仮想通貨マイナーも確認されており、オンラインゲームや違法ダウンロードを利用するユーザーは特に注意が必要です。本記事では、これらのマルウェアの具体的な手口、機能、そしてユーザーが取るべき対策について詳しく解説します。
Minecraftユーザーを狙う「Weedhack」マルウェアの脅威
セキュリティ研究機関McAfee Labsは、人気ゲームMinecraftのプレイヤーを標的とした新たなマルウェアキャンペーン「Weedhack」の活動を報告しました。2026年1月から活発化しているこのキャンペーンは、MinecraftのクライアントやMod(改造プログラム)を装い、ユーザーのシステムを乗っ取ろうとします。これまでに3,820種類の悪意あるJARファイルと240以上の配布URLが特定されており、その規模の大きさがうかがえます。
YouTubeとSEOポイズニングによる感染経路
Weedhackの主な感染経路は、YouTube動画とSEOポイズニングです。攻撃者は、MinecraftのModやクライアントを紹介するYouTubeチャンネルや動画を作成し、説明欄に悪意あるURLへのリンクを埋め込みます。また、特定の検索キーワードで上位表示されるようSEOポイズニング技術を駆使し、ユーザーを偽のダウンロードサイトへ誘導します。これにより、正規のModやクライアントを探している unsuspecting なユーザーが、知らず知らずのうちにマルウェアをダウンロードしてしまうリスクが高まります。
「Weedhack」の機能とサービスモデル
Weedhackは、MaaS(Malware-as-a-Service)として提供されており、攻撃者向けのエンタープライズグレードのダッシュボード「weedhack.to」を通じて管理されています。このダッシュボードでは、窃取した認証情報やシステム情報の閲覧、侵害されたシステムのリモート監視が可能です。さらに、Minecraftのバージョン1.21.0から1.21.11に対応したカスタムペイロードの作成や、正規のModへのマルウェア注入機能も備えています。
Weedhackは、無料版とプレミアム版の2つのティアで提供されています。
- 無料版: MinecraftのセッションIDや4種類のランチャー情報、スクリーンショット、ファイル、システム情報、36種類のウェブブラウザのクッキーやパスワード、56種類のブラウザベースの仮想通貨ウォレットおよび12種類のデスクトップウォレットアプリのデータ、Discord、Steam、Telegramの認証情報などを窃取する包括的なインフォスティーラー機能が含まれます。
- プレミアム版: 月額4.99ドル(または生涯ライセンス24.99ドル)で利用でき、ウェブカメラへのアクセス、キーロギング、リバースシェル実行、キーボードとマウス操作を含む画面共有、ファイルのアップロードとダウンロードといった高度なリモートアクセス機能が追加されます。
この手頃な価格設定と詳細な利用チュートリアルは、サイバー犯罪への参入障壁を大幅に下げ、特に若い世代の攻撃者を惹きつけていると指摘されています。
攻撃の仕組みと技術的詳細
Weedhackの攻撃は、悪意あるウェブサイトからダウンロードされる「DonutDupe.jar」というJARファイルから始まります。このファイルは、EtherHidingと呼ばれる技術を用いてコマンド&コントロール(C2)サーバーのドメイン情報を取得します。EtherHidingは、イーサリアムブロックチェーンをデッドドロップリゾルバーとして利用する既知の手法であり、C2サーバーの検出を困難にします。
次に、マルウェアはC2サーバーと通信し、別のJavaベースのJARペイロード「Elevator.jar」をダウンロードします。Elevator.jarは、システム情報の収集、Microsoft Defenderの除外設定、そして追加のJARペイロードのドロップを仲介する役割を担います。3番目のJARペイロード「SecurityManager.jar」は、システムの永続性を確立し、最終コンポーネント「Component.jar」を展開するためのステージャーとして機能します。Component.jarが、先に述べたリモートアクセス機能を展開する最終的なマルウェア本体です。
攻撃者は、Telegramチャンネルを通じてWeedhackの宣伝、アップデートの告知、顧客サポートを行っており、このチャンネルには850人以上のメンバーが参加しています。
主な感染地域と若年層への影響
Weedhackの感染は、米国で最も多く確認されており、次いでドイツ、インド、英国、イタリア、ベトナム、カナダ、ノルウェー、スウェーデン、フィンランド、スペインと続きます。特筆すべきは、このマルウェアがサイバーいじめのツールとしても悪用されている点です。顧客(多くはティーンエイジャーや若年層とみられる)は、リモートアクセス機能を悪用して被害者を脅迫、嫌がらせ、監視しています。ウェブカメラを通じて被害者を録画し、その動画を「トロフィー」としてTelegramチャンネルで共有する事例も確認されており、その悪質性が浮き彫りになっています。
大規模な「CountLoader」キャンペーンの概要
McAfee Labsは、Weedhackの報告と並行して、大規模な「CountLoader」キャンペーンについても警鐘を鳴らしています。このキャンペーンは、推定86,000台ものユニークなマシンを侵害したとされています。CountLoaderは、JavaScriptベースのローダーであり、主にクラックされたソフトウェアの配布サイトを通じて拡散します。
海賊版ソフトウェアサイトを通じた拡散
CountLoaderの感染経路は、主に海賊版ソフトウェアをダウンロードする際に利用されるサイトです。ユーザーが違法にコピーされたソフトウェアやゲームを求めてこれらのサイトを訪れると、CountLoaderが仕込まれた実行ファイル(EXEファイル)をダウンロードすることになります。このEXEファイルが実行されると、PowerShellコマンドが起動し、難読化されたJavaScriptローダーであるCountLoaderがダウンロードされ、「mshta.exe」を用いて実行されます。
CountLoaderの機能と最終ペイロード
一度実行されると、CountLoaderはシステムの永続性を確立し、C2サーバーと通信を開始します。また、USBドライブやリムーバブルメディアを通じて自己拡散を試みる機能も持っています。C2サーバーからの指示を待ち、最終的に様々なペイロードをダウンロードして実行します。これまでに、Cobalt Strike、AdaptixC2、PureHVNC RAT、Amatera Stealer、PureMinerといった悪名高いマルウェアがCountLoaderを通じて展開されてきたことが確認されています。
今回の攻撃で最終的に展開されたペイロードは、仮想通貨クリッパーマルウェアでした。このマルウェアは、クリップボードの内容をハイジャックし、ユーザーが仮想通貨アドレスをコピー&ペーストする際に、攻撃者のアドレスに自動的に書き換えることで、仮想通貨取引を不正にリダイレクトします。これにより、ユーザーは意図せず攻撃者に仮想通貨を送金してしまう危険性があります。CountLoaderの感染はインドで最も多く、次いでインドネシア、米国、東南アジアの複数の国で確認されています。
海賊版コンテンツが媒介する仮想通貨マイナー
さらに、セキュリティ企業Kasperskyは、数年間にわたるキャンペーンで、違法な映画やテレビ番組のストリーミングサイトを利用して仮想通貨マイナーを配布していることを明らかにしました。これは、偽の動画プレイヤープラグインの更新を装って行われます。
偽の動画プレイヤー更新を装う手口
この攻撃では、ユーザーが違法ストリーミングサイトで動画を視聴しようとすると、「動画プレイヤーの更新が必要です」といった偽のメッセージが表示されます。ユーザーがこれを信じて更新ファイルをダウンロードすると、実際には悪意あるZIPアーカイブがダウンロードされます。このアーカイブには、正規の実行ファイル(例: HLS Installer.874.exe)と悪意あるDLLファイルが含まれています。
ユーザーが正規の実行ファイルを起動すると、DLLサイドローディングという手法が悪用されます。これにより、悪意あるDLLファイルが正規プログラムのプロセスに注入され、そのコンテキスト内で悪意あるコードが実行されます。この手法は、正規のプログラムの信頼性を悪用するため、検出が困難です。
マイナーの機能と永続化の仕組み
展開される仮想通貨マイナーは、「SilentCryptoMiner」のフォーク(派生版)であり、多岐にわたる機能を備えています。
- セキュリティ対策の無効化: Microsoft Defenderの除外設定を行い、Microsoftの悪意のあるソフトウェア削除ツールを終了させることで、検出と削除を回避します。
- システム設定の変更: 自動休止モードやスリープモードを無効にし、マイナーがデバイス上で最大限の稼働時間を確保できるようにします。
- 特権昇格: ユーザーアカウント制御(UAC)のプロンプトを繰り返し表示させ、管理者権限での実行を強制します。
- 永続化と監視: ウォッチドッグコンポーネントを起動し、マイナーの動作が中断されないように監視します。
- リモート制御: RAT(Remote Access Trojan)エージェントを実行し、任意のコマンド実行、explorer.exeを用いたEXEファイルの起動、シェルコードの実行といったリモート制御機能を提供します。
- マイニング実行: XMRigベースのCPUおよびGPUマイナーを起動し、感染したデバイスのリソースを不正に利用して仮想通貨(主にMonero)をマイニングします。
この活動は、2023年4月にNTTセキュリティが報告した、偽のブラウザクラッシュ警告を利用してマイナーをドロップするキャンペーンの継続であると評価されています。攻撃者は、オンラインライブラリから映画やテレビ番組のストリーミングプラットフォームまで、様々なサイトを悪用してマルウェアを配布しており、海賊版ウェブサイトを訪れるユーザーは常に深刻なリスクにさらされていると警告されています。
サイバー攻撃から身を守るための対策
これらの多岐にわたるマルウェア攻撃から自身を守るためには、日頃からのセキュリティ意識と対策が不可欠です。
公式ソースからのダウンロードの徹底
最も基本的な対策は、ソフトウェアやModをダウンロードする際に、必ず公式のウェブサイトや信頼できるプラットフォームを利用することです。MinecraftのModであれば、公式のModリポジトリや開発者が提供する正規のダウンロードリンクのみを使用し、YouTubeの動画説明欄や見慣れないウェブサイトからのダウンロードは絶対に避けるべきです。海賊版ソフトウェアや違法ストリーミングサイトの利用は、マルウェア感染のリスクを大幅に高めるため、避けるようにしてください。
セキュリティソフトウェアの活用
高性能なアンチウイルスソフトやエンドポイント検出応答(EDR)ソリューションを導入し、常に最新の状態に保つことが重要です。これらのソフトウェアは、マルウェアの検出、ブロック、駆除に役立ちます。また、定期的にシステム全体のスキャンを実行し、不審なファイルやプロセスがないか確認する習慣をつけましょう。Microsoft DefenderなどのOS標準のセキュリティ機能も有効活用し、設定が不正に変更されていないか定期的に確認することも大切です。
不審なリンクやファイルの回避
メール、SNS、チャットなどで送られてくる不審なリンクはクリックしない、見慣れないファイルはダウンロードしない、という基本的なルールを徹底してください。特に、無料を謳う魅力的なオファーや、緊急性を煽るようなメッセージには警戒が必要です。URLのドメインをよく確認し、正規のサイトと酷似していても、わずかな違いがないか慎重にチェックする習慣を身につけましょう。
定期的なシステム更新とバックアップ
オペレーティングシステム、ウェブブラウザ、アプリケーション、そしてセキュリティソフトウェアは常に最新の状態に保つことが重要です。ソフトウェアの脆弱性は、攻撃者にとって格好の侵入経路となるため、提供されるセキュリティパッチは速やかに適用してください。また、万が一のマルウェア感染に備え、重要なデータは定期的に外部ストレージやクラウドサービスにバックアップを取っておくことを強く推奨します。これにより、データが失われたり、暗号化されたりした場合でも、被害を最小限に抑えることができます。
多要素認証の導入とパスワード管理
オンラインアカウントのセキュリティを強化するために、多要素認証(MFA)を積極的に導入しましょう。特に、Minecraftアカウント、仮想通貨ウォレット、Discord、Steam、Telegramなど、資産や個人情報が紐づくサービスでは必須です。また、パスワードは使い回さず、複雑で推測されにくいものを設定し、パスワードマネージャーの利用も検討してください。これにより、一つのサービスから情報が漏洩しても、他のアカウントへの被害拡大を防ぐことができます。
まとめ
Minecraftユーザーを狙う「Weedhack」は、YouTubeやSEOポイズニングを悪用し、情報窃取からサイバーいじめまで多岐にわたる脅威をもたらしています。また、海賊版コンテンツを介して拡散するCountLoaderや仮想通貨マイナーも、ユーザーのPCリソースを不正利用し、金銭的被害を引き起こす深刻な問題です。これらの攻撃は、MaaSモデルの普及や、若年層のサイバー犯罪への参入障壁の低下といった背景も相まって、今後さらに巧妙化・大規模化する可能性があります。
オンラインでの活動において、常に警戒心を持ち、公式ソースからのダウンロード、セキュリティソフトウェアの活用、不審なリンクやファイルの回避、そして多要素認証の導入といった基本的なセキュリティ対策を徹底することが、自身と大切なデータを守るための鍵となります。デジタル社会の恩恵を安全に享受するためにも、サイバーセキュリティに関する最新情報を常に把握し、適切な行動を心がけましょう。
