本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
マイクロソフトとEuropol、各国捜査当局は2026年6月24日、情報窃取型マルウェア「StealC」と、追加のマルウェアを送り込むローダー「Amadey」が共有していた犯罪インフラを停止した。2024年に始まった国際取り締まり「Operation Endgame」の一環で、単発のマルウェア摘発ではなく、攻撃の入口から収益化までを支える基盤そのものに踏み込んだ措置となる。
200超のC2ドメイン・IPを対象にした協調措置
今回の措置には、マイクロソフトのDigital Crimes Unit、Europol、独連邦刑事庁、デンマークとオランダの警察当局、民間パートナーが参加した。マイクロソフトは、StealCとAmadeyの基盤に属する200超のC2ドメインとIPを対象にした。C2は感染端末に指示を出す「司令塔」にあたる。
オランダ警察は同日、AmadeyとStealCに関連する100超の犯罪サーバーとドメインを差し押さえ、または停止したと発表した。マイクロソフト側の「200超」はC2ドメイン・IP、オランダ警察側の「100超」は犯罪サーバー・ドメインを指しており、同じ母数として単純に足し合わせる数字ではない。
StealCとAmadeyは別々のサイバー犯罪グループに管理されていたが、同じデジタル基盤を共有していた。押収されたサーバー上からは2400万件超のログイン認証情報が見つかり、そのデータは38万4000台のコンピューターシステム、150万超のサービスや企業にまたがっていた。
ランサムウェア被害の入口を断つ狙い
StealCはパスワード、Cookie、セッショントークンなどを盗み出す。Amadeyは侵入した端末に別のマルウェアを配布し、攻撃者が次の行動に移るための足場をつくる。個人端末の感染であっても、企業のVPN認証情報やシングルサインオンのトークンが流出すれば、企業ネットワークへの侵入に直結し得る。
このため、インフォスティーラーやローダーは攻撃連鎖の最初の段階になりやすい。盗まれた認証情報が売買され、後続のマルウェア投入やランサムウェア攻撃につながる構図だ。今回の停止措置は、攻撃者が使う道具だけでなく、準備、実行、収益化を支える「供給網」を断つ狙いを持つ。
Operation Endgameでは、開始以降すでに数十の犯罪ネットワークがオフライン化され、数億件規模の被害者データが確認されている。Europolは今回の広域作戦について、SocGholishも含め326台のサーバーと142件のドメインに対応し、4100万ユーロ超の犯罪由来暗号資産を特定・制限したと説明している。StealCとAmadeyを巡っては、関係者の摘発や起訴、被害者への通知がどこまで進むかが引き続き課題となる。
