Torを使ってステルス性確保するUSBワーム風マルウェアが暗号資産を標的に

Torを使ってステルス性確保するUSBワーム風マルウェアが暗号資産を標的に

CyberInsider – June 18, 2026

遅くとも2026年2月から行われている暗号資産クリッパーマルウェアキャンペーンについて、マイクロソフトが報告。このマルウェアはUSBベースの伝播プロセス、Torネットワークを使った通信の隠蔽、またリモートコード実行性能を備えているという。

マイクロソフトによれば、このマルウェアは従来の暗号資産クリッパーとは一線を画しており、暗号資産スティーラーと軽量バックドアのいずれの役割も果たすとされる。また独自のTorクライアントをバンドルし、秘匿された.onionサービスを介してのみC2通信を行うことで、感染端末への永続的なアクセスを保持しつつ、インフラを隠すことも可能な点が特徴だという。

マルウェアへの感染は、USBストレージデバイスに含まれた悪意あるWindowsショートカット（.lnk）ファイルを通じて行われ、以下2つのコンポーネントがインストールされる。

• ワームコンポーネント：さらなるリムーバブルドライブへと感染を広げる役割を持つ
• クリッパーモジュール：暗号資産関連データを収集・抽出する役割を持つ

両者のうち、ワームコンポーネントは接続されたUSBデバイスをスキャンし、WordやExcel、PDFファイルなど、よく使われるドキュメントを探索。見つかった既存のファイルを隠し、これらを悪意あるショートカットファイルに置き換える。これらの悪性ファイルには元のファイルと同一ファイル名が付けられるため、ユーザー側では正規のものと見分けがつきにくいという。

ユーザーがこれらの悪性ファイルのいずれかを開くと、マルウェアはC:\Users\Public\Documents内のフォルダに追加のペイロードを展開し、スケジュールされたタスクを使って永続性を確立する。また、ステージングディレクトリや実行ファイルに対してウイルス対策ソフトの除外設定を作成することで検出回避を試みるほか、シンプルなアンチ解析チェックも実施。さらにこのマルウェアのコンポーネントはいずれも、解析を妨げるため高度に難読化されているという。

一方でクリッパーモジュールは、Windows Script Host（WScript）およびActiveXオブジェクトを使ってOSとやり取りを行う。同クリッパーはバンドルされたTorバイナリ「ugate.exe」を起動した後、ネットワーク接続が確立されるのを待ち、感染したデバイスを隠しサービスのC2サーバーに登録。その後は、約500ミリ秒ごとにクリップボードの内容を監視しつつ、オペレーターからの指示を待つ。マイクロソフトは、このマルウェアが暗号資産シードフレーズやイーサリアムの秘密鍵、ビットコインの秘密鍵、ウォレットアドレスを検索する様子を観測しているという。取得されたシードフレーズや秘密鍵はTorでルーティングされる通信を通じて攻撃者に転送される。

組織に対しては、WScriptの不審な使用やPowerShellを使用した画面キャプチャ活動、localhost:9050を通じたTorトラフィック、クリップボードの監視行為、またSOCKS5プロキシパラメータを伴う不審なcurl.exeの実行が行われないかをモニタリングしておくことが推奨される。また、リムーバブルメディアの「自動実行」および「自動再生」を無効にすること、可能な限りUSBドライブからの.lnkファイルの実行を制限すること、wscript.exeやcscript.exeなどのスクリプトインタプリタの不要な使用を制限すること、そしてローカルでのTorプロキシ活動が見られるシステムを調査することなども、対策として挙げられている。

アジア・南太平洋地域の全犯罪のうち3割がサイバー犯罪に：インターポールが報告

The Register – Thu 18 Jun 2026

アジア・南太平洋（ASP）地域における全犯罪のうち、サイバー犯罪が占める割合は現在30％を超えるようになっているという。国際刑事警察機構（インターポール）の最新の統計により明らかになった。

インターポールが6月17日に公開したレポート「INTERPOL ASIA AND SOUTH PACIFIC CYBER THREAT ASSESSMENT」によると、 ASP地域において記録されたサイバー犯罪件数は「劇的に増加」しており、その主な要因としては、デジタルインフラや新技術の普及、また犯罪ネットワークの組織化が進んでいることなどが挙げられるという。

同レポートは2024年〜2025年のデータを分析したものとなっており、この地域におけるサイバー犯罪を種類別に分類すると、オンライン詐欺・フィッシングが最も優勢だったとされる。レポートはまた、特にスピアフィッシングがより一般化してきていることや、スキルの低いスクリプトキディでも一見本物らしいなりすましコンテンツを作成しやすくなっていることなどにも言及している。

AIツールに関しては、標的を納得させてしまうようなディープフェイクコンテンツがASP地域のサイバー犯罪者にも人気になっているという。2024年にはロマンス詐欺においてディープフェイク画像が使われていたのがわかっているほか、香港に位置する多国籍企業がWeb会議に登場したディープフェイクの人物に欺かれ、2,500万ドル相当の資金を攻撃者に送金してしまったことが報告されている。また、2025年3月には、シンガポールにおいても同様の事件が発生。Zoom会議でCEOやCFOに見せかけたディープフェイクを使った攻撃者が、標的企業から49万9,000ドル超を詐取することに成功したとされている。

加えて注目に値するのが、ASP地域では組織化された詐欺集団の問題。こうした集団が運営するキャンプでは、何百人もの人々がオンライン詐欺のために働かされている。国連が2025年に発表したレポートにおいても、カンボジア、ラオス、ミャンマー、フィリピンなど東南アジア各地に位置する詐欺拠点コールセンターが、「がんのように」広がりつつある「エピデミック」だと称されていた。

シンガポールの調査によれば、同地域のオンライン詐欺産業は毎年400億ドル近くの収益を生み出しているとされる。

オンライン詐欺・フィッシングに続いてASP地域で広く見られたのが、インフォスティーラーおよびバンキング型トロイの木馬によるサイバー攻撃。これに、ランサムウェア攻撃が続いている。

インターポールのレポートでは、ASP地域全体でデジタル化が進み、各国に新たな経済的機会がもたらされている一方で、法執行機関はサイバー犯罪の増加に追いつくのに苦慮していると指摘。多くの機関が、こうした犯罪を捜査するために必要なスキルやツールを欠いていると述べた。この問題は特に、太平洋地域の開発途上国や小島嶼国において顕著だという。これらの国々は「深刻な資源や能力の制約」に直面しており、その結果、犯罪者が処罰を免れる可能性が高いため、直接的な標的となるリスクがより高くなっているとされる。