チェック・ポイント・リサーチ、摘発された情報窃取型マルウェア「Lumma」の開発者が活動再開に向けて積極的に対応を進めていることを確認

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ： CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、今年5月に法執行機関に摘発された情報窃取型マルウェア「Lumma」の開発者が、活動の復旧と通常業務の再開に向けて積極に対応を進めていることを確認しました。

主な調査結果

• 今回の摘発によってLummaインフォスティーラーのインフラは大きな打撃を受けましたが、ロシア国内にあるインフラの大部分については、恒久的な影響は与えられなかったと考えられます。
   

• Lummaの開発者たちは、活動の復旧と通常業務の再開に向けて積極的に対応を進めています。
   

• Lummaインフォスティーラーの評判は著しく損なわれており、今後の活動再開においては、技術的な課題よりも信頼回復が重要な要素となることが予想されます。 

2025年5月21日、ユーロポール、FBI、Microsoftは、その他官民パートナーと連携し、Lummaインフォスティーラーの活動を停止させる共同作戦を発表しました。現在最も多発している情報窃取マルウェアの一つとされるLummaは、マルウェア・アズ・ア・サービス（MaaS）モデルで配布されています。一般的なサイバー犯罪者が認証情報を窃取するために使用するだけでなく、Lummaは、Scattered Spider、Angry Likho、CoralRaiderなどいくつかの著名な脅威アクターグループの攻撃ツールの一部として確認されています。

ダークウェブにおける摘発作戦
関係者によると、このテイクダウン作戦は5月15日に開始されました。その日、Lummaの顧客は、マルウェアのC2サーバーや管理ダッシュボードにアクセスできないと訴え、このインフォスティーラーの宣伝をしているダークウェブフォーラムに殺到しました。

Lummaの開発者は、5月23日金曜日に公式回答を発表しました。その内容は、Lummaのドメインのうち約2,500個が法執行機関によって押収または削除されたことを認めるものでした。

Lummaの開発者によると、捜査当局は地理的な理由からLummaのメインサーバーを物理的に押収することはできなかったものの、iDRAC（Integrated Dell Remote Access Controller）の未知の脆弱性を悪用して、サーバーへの侵入に成功しました。これにより、サーバー本体とそのバックアップデータが完全に消去されました。Lummaの開発者は顧客のIPアドレスを記録していなかったと述べていますが、当局はLummaの利用者の認証情報とデジタルフットプリントを収集するための偽のログインページを作成していました。さらに、利用者のウェブカメラへのアクセスを試みるJavaScriptコードも仕込まれていたことが判明しています。

Lummaの今後
サイバー犯罪フォーラムでは、Lummaインフォスティーラーの将来について意見が分かれています。今回の摘発作戦によるダメージが深刻なため、Lummaはサービスを完全に停止するか、少なくとも非公開化（公開での宣伝を終了し、口コミによるマーケティングと顧客審査に戻る）に移行するという見方があります。一方で、今回の摘発作戦は長期的な影響を与えないだろうという見解も存在します。

Lummaの開発者たちは、すでに運営を再開したと主張しています。複数のサイバー犯罪者たちがテレグラム上のやりとりを公開しており、開発者は、Lummaの関係者は逮捕者は出ておらず、「すべてが復旧し、通常通り稼働している」と述べているとのことです。

さらに、このマルウェアのインフラを詳しく調査したところ、ロシアに登録されているC2サーバーは無効化されていないことが判明しました。

Lummaインフォスティーラーが完全に停止していないことを示すもうひとつのサインとして、侵害されたコンピューターから窃取された情報がオンライン市場に出回り続けているという事実があります。例えば、摘発作戦の2日後、Lummaによって窃取された認証情報を販売する自動化されたテレグラムボットが、41カ国から集めた95件のログを売りに出していました。5月29日時点で、同ボットには406件のログが掲載されており、着実に増加していることが確認されています。

加えて、ロシア市場向けにインフォスティーラーのログをオンラインで販売している集中型ショップには、摘発作戦の実行日以降もLummaに感染したコンピューターからのデータが含まれています。

LockBitランサムウェアを摘発したオペレーション・クロノス（Operation Cronos）で見られたように、サイバー犯罪と戦う法執行機関は、脅威アクター間の不信感を醸成するために心理的プレッシャーをかけることがよくあります。LockBitの摘発作戦時に、当局はLockBitのリークサイトを侵害し、彼らのリーダーの身元を公表することを予告するカウントダウンタイマーを仕掛けました。

Lummaの摘発作戦では、法執行機関 はLummaのメインのテレグラムチャンネルにメッセージを投稿し、管理者とアフィリエイトがすでに当局に情報を提供していると主張しました。また、乗っ取られた管理パネルに仕込まれたJavaScriptスニペットは、利用者のウェブカメラで写真を撮影すると称していましたが、これも心理的な揺さぶりだった可能性があります。実際、脅威アクターたちがこのJavaScriptのコードを詳細に分析したところ、コードは非常に初歩的で正常に動作しないものだったことが判明しています。

結論
Lummaインフォスティーラーに対する摘発作戦は成功したものの、CPRは、Lummaの開発者が情報窃取活動を完全に復旧させ、通常業務を再開しようとする大規模な取り組みを確認しています。真の問題は、Lummaの技術的な性能へのダメージ以上に、Lummaのブランドと評判にどれほどダメージが与えられたかという点です。法執行機関による心理的攻撃により、アフィリエイトや顧客の間に広がった不信感は、過去の同様の事例からも分かるように、容易に払拭できるものではありません。

本プレスリリースは、米国時間2025年5月29日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/ 
X: https://twitter.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。 

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp