Lummaスティーラーの陥落：ライバルハッカーが運営陣の「晒し」を実行で

Lummaスティーラーの陥落：ライバルハッカーが運営陣の「晒し」を実行で

HackRead – October 22, 2025

アンダーグラウンド市場で大きなシェアを獲得していたマルウェア・アズ・ア・サービス（MaaS）のLumma Stealerは、オペレーターがドキシング（晒し）被害に遭ったことで急激に活動量を低下させているという。トレンドマイクロが報告した。

Lumma Stealerはインフォスティーラー（情報窃取型マルウェア）と呼ばれるマルウェアで、感染したシステムからパスワードやクレジットカード情報、暗号資産ウォレット情報といった機微なデータを盗み出す性能を持つ。2022年からMaaS形式で販売されており、その効率性の良さ、充実したサポート、頻繁に提供されるアップデートなどの利点によりサイバー犯罪者の間で人気を集めてきた。2025年5月には複数国の法執行機関が協力してLummaのテイクダウンを試みたものの、その後同スティーラーのオペレーターらはインフラを復元し、顧客へのサービス提供を再開。6月には活動レベルが高水準を維持して再び安定を見せ始めるなど、オペレーターのレジリエンスの強さや、サイバー犯罪エコシステムにおけるLumma需要の高さが示されていた。

しかし、Lummaのオペレーターらを「Water Kurita」という脅威アクター名で追跡するトレンドマイクロは、2025年9月にこの安定状態に異変が生じたのを観測。この時期から、Lummaのサンプル検出数とC2アクティビティの双方が減り続けるようになった。これには、ライバルのサイバー犯罪者らによるドキシングキャンペーンが関係しているという。

トレンドマイクロによれば、ライバルグループは8月後半から10月前半の時期に、Water Kuritaの主要メンバー5人の個人情報やLumma運用に関わる情報とされるもののリークを開始。「Lumma Rats」と名付けられたWebサイト上で公開されたこれらの情報には、パスポート番号や金銭に関するレコード、メールアドレスなどが含まれていたとされる。さらに9月17日にはWater Kuritaの公式Telegramアカウントも侵害され、顧客と連絡を取り合うことがかなり難しい状態になったという。

このドキシングキャンペーンを経てLummaのC2インフラが崩落し始めたことで、顧客らが新たなスティーラーの入手場所を求めるように。アンダーグラウンド市場ではその他のマルウェア開発者らによる激しい競争が生じる事態となり、中でもVidarやStealCといったMaaSが人気を伸ばし始めているという。

Lummaのように圧倒的シェアを誇っていたプレーヤーであっても競合相手の策略により突如地位を失うことがあり得ることを示した今回の動向により、先行きの予測が困難なアンダーグラウンドマーケットの性質が改めて強調されている。

関連記事：Vidarスティーラーが進化：バージョン2.0はマルチスレッドのデータ窃取を採用、検出回避力も向上

【開催決定！】日本最大級サイバー（脅威）インテリジェンスイベント

3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇！海外からも専門家が多数登壇予定！