LOSTKEYSマルウェア：西側諸国を狙うステルス型スパイツール

LOSTKEYSと呼ばれる新たなマルウェアが、政治的な含みを持つ一連の秘密サイバー作戦において、好んで利用されるツールとして出現しました。2023年後半に初めて検出され、2025年初頭まで活発に利用されていたとみられるLOSTKEYSは、ロシアと関係のあるハッカー集団COLDRIVERによる戦略転換の一環です。COLDRIVERは、欧米の著名人や機関を標的としたサイバースパイ活動で知られています。

大規模な混乱や金銭窃盗を目的とした従来のマルウェアとは異なり、LOSTKEYSは高度に選択的な情報主導型攻撃向けに設計されています。主な目的は、システムに密かに侵入し、機密ファイルを盗み出し、重要なシステム情報を送り返すことです。しかも、これらはすべて検出を回避しながら行われます。

LOSTKEYSとは何ですか？

LOSTKEYSは、被害者のコンピュータ上の指定されたフォルダから特定のファイル形式を抽出できるカスタムビルドのマルウェアプログラムです。ファイルの収集に加え、システム情報や実行中のプロセスを攻撃者に送信します。LOSTKEYSの特徴は、その精度にあります。価値あるシステムのみを標的とするため、大規模な侵入ではなく、スパイ活動を目的として設計されていることは明らかです。

このマルウェアの名前はランダム性を連想させるかもしれませんが、その展開は全くランダムではありません。政府顧問、軍人、ジャーナリスト、シンクタンク、NGO、そしてウクライナと関係のある個人を狙った攻撃で確認されています。これらの標的が具体的かつ限定的であることから、犯罪目的ではなく、情報収集目的で使用されていることが示唆されます。

どのように機能しますか?

感染プロセスは、 ClickFixと呼ばれる高度なソーシャルエンジニアリングから始まります。被害者は、偽のCAPTCHAチャレンジを備えたおとりウェブサイトに誘導されます。身元確認のためだと信じ込んだユーザーは、PowerShellコマンドをコピーし、Windowsの「ファイル名を指定して実行」ダイアログボックスから実行するよう促されます。このコマンドがマルウェアのダウンロードチェーンを開始します。

その後は、検出を逃れるために設計された多段階のプロセスが実行されます。最初のペイロードは環境チェックを実行し、マルウェア分析ラボでよく使用される仮想マシン上で実行されているかどうかを検出します。環境チェックに合格すると、コマンドはBase64でエンコードされたスクリプトを取得し、最終的にLOSTKEYSマルウェアを実行します。実行されると、ホストシステムを静かにスキャンし、事前定義されたファイルタイプとディレクトリを探し、データをリモートサーバーに送信します。

背後に誰がいるのか?

LOSTKEYSは、Callisto、 Star Blizzard 、UNC4057といった名前でも追跡されている脅威グループCOLDRIVERによるものとされています。このグループは従来、認証情報フィッシングを利用してメールアカウントにアクセスし、機密性の高い通信を盗み出してきました。しかし、LOSTKEYSとその前身であるSPICAは、デバイスへの直接的な侵入とデータ窃取という新たな方向性を示しています。

セキュリティ専門家は、COLDRIVER が典型的には地政学的な動機に基づいて活動していると指摘しています。その標的と戦術は国家支援の諜報活動と密接に関連しており、過去の活動からは西側諸国の外交政策、防衛、メディア分野への関心が見て取れます。

LOSTKEYSの意味

LOSTKEYSの出現は、サイバー攻撃におけるより大きなトレンドを反映しています。それは、欺瞞的なソーシャルエンジニアリングと、標的型監視を目的としたカスタムマルウェアを融合させたものです。これらの戦術は巧妙かつ効果的で、追跡が困難であるため、被害者は侵入されたことに気づかないままになることがよくあります。

その影響は重大です。特に東欧に関連する機密事項に取り組む政府機関や組織にとって、サイレントデータ漏洩のリスクはかつてないほど高まっています。LOSTKEYSはデータを破壊したり妨害したりすることを目的として設計されているのではなく、静かに収集することを目的としているため、その存在は長期間にわたって検知されない可能性があります。

さらに、ClickFixのような戦術の使用が増えていることは、攻撃者がいかに適応しているかを示しています。彼らは強化された防御を突破しようとするのではなく、人間の行動を悪用し、ユーザーに悪意のあるコマンドを自ら実行させるように仕向けます。このアプローチは、多くの従来のセキュリティ対策やウイルス対策を回避できます。

より広範な傾向

LOSTKEYSは単独で活動しているわけではありません。他の脅威アクターはClickFixの手法を転用し、バンキング型トロイの木馬やMacに特化したデータ窃盗型マルウェアなど、様々なマルウェアを拡散させています。ブロックチェーン取引内に悪意のあるコードを隠すEtherHidingなどの手法がこれらのキャンペーンに巧妙に組み入れられており、検出はさらに困難になっています。

ある研究者が最近、「MacReaper」と呼ばれる大規模な攻撃キャンペーンを発見しました。このキャンペーンでは、2,800以上の正規ウェブサイトが侵害され、偽のCAPTCHAページが配信されました。これらの偽装エントリポイントは、macOSシステムを標的とするAtomic Stealerを含む、様々なマルウェアファミリーに利用されています。

情報を入手し、安全を確保する

LOSTKEYSとその配信メカニズムの高度な技術は懸念材料ですが、最善の防御策は依然として警戒を怠らないことです。ユーザーは、見慣れないコマンドの実行や予期せぬWebフォームへの操作を促された場合は、慎重に行動する必要があります。特に機密データやポリシーを扱う組織は、トレーニング、エンドポイント保護、脅威インテリジェンスへの投資を継続する必要があります。

LOSTKEYSは、現代の脅威がしばしば巧妙な形で現れることを改めて認識させてくれます。デジタル時代のセキュリティにとって最大のリスクとなるのは、騒々しい存在ではなく、静かに活動する存在です。