マイクロソフトは、USBメモリを介した暗号通貨送金を乗っ取るマルウェアを発見しました。その仕組みは以下のとおりです。

マイクロソフトの脅威インテリジェンスは6月17日、2026年2月からWindowsマルウェアのキャンペーンを追跡しており、このマルウェアは感染したUSBドライブを介して拡散し、暗号通貨の送金を密かに乗っ取ることを明らかにした。

Microsoft Defender AntivirusがTrojan:Win32/CryptoBanditsとして検出するこのマルウェアは、約500ミリ秒ごとに被害者のクリップボードを監視し、ユーザーが貼り付ける前にコピーされたウォレットアドレスを攻撃者が制御するアドレスに置き換えます。被害者の画面上では取引は正常に完了したように見えますが、資金は全く別の場所に送金されます。

感染方法は古くからあるものだが、通常は単純な種類のマルウェアとしては、その実行方法は異例なほど高度である。

攻撃は、既に感染しているマシンにクリーンなUSBドライブが接続されたときに開始されます。ワームはドライブをスキャンして、Word文書、Excelシート、PDFなどの一般的なファイルを探し出し、元のファイルを隠蔽して、同じ名前とアイコンを使用した悪意のあるショートカットファイルに置き換えます。

そのUSBドライブが後日別のコンピューターに接続され、被害者が自分の文書のように見えるリンクをクリックすると、Windowsエクスプローラーが悪意のある.lnkファイルを自動的に処理し、ペイロードが数秒で実行されます。ダウンロードも、フィッシングメールも、不審なリンクも一切ありません。見た目は全く普通のUSBメモリです。

新しいマシン上で活動を開始すると、このマルウェアは2つのプロセスを同時に実行します。まずクリップボードを監視して重要なデータを探し出し、次に感染していないUSBドライブが見つかるまで待機して、同じ感染サイクルを繰り返します。

CryptoBanditsはクリップボードデータの3つの特定のカテゴリを標的としており、それぞれのカテゴリを理解することが、自身のリスクを評価する上で重要となる。

• シードフレーズと秘密鍵。ウォレットのシードフレーズや秘密鍵を何らかの理由で、たとえ短時間でもコピーすると、マルウェアがそれを傍受し、Torネットワーク経由で攻撃者のサーバーに送信します。

• スクリーンショット。このマルウェアは、関連するクリップボード操作を検出するたびに、10秒間隔で5枚のスクリーンショットを撮影し、攻撃者が盗まれた内容を確認するために使用できる視覚的なコンテキストをキャプチャします。

• 受取人のウォレットアドレス。これが最も危険な機能です。送金先のアドレスをコピーすると、マルウェアは貼り付ける前に、それを攻撃者が管理するアドレスに密かに置き換えます。あなたは自分のアドレスを目にし、取引を承認します。すると、お金は攻撃者の手に渡ってしまうのです。

マイクロソフトの分析によると、このマルウェアはWindows Script HostとActiveX駆動のロジックを利用して、バンドルされたTorプロキシを起動し、隠しサービスであるコマンド＆コントロールサーバーと通信することが判明した。

また、永続性を確保するためにスケジュールされたタスクを設定するため、再起動後も動作し続け、無期限に監視を継続します。攻撃者のサーバーが特定のコマンドを返した場合、マルウェアは実行時に追加のコードを実行できるため、一般的なウォレット窃盗ツール以上の機能を発揮します。

これまで分析してきたセキュリティ関連の事例から判断すると、標準的なクリップボードハイジャックマルウェアは何年も前から存在しており、通常は固定サーバーへの安定したインターネット接続を必要とするため、比較的容易に検出できます。一方、CryptoBanditsはすべての通信をTor経由でルーティングするため、コマンド＆コントロールインフラストラクチャが匿名化され、ネットワークベースの検出が著しく困難になります。

ワームのようなUSB感染経路による拡散も、重大なエスカレーションと言える。現代のマルウェアの多くは、フィッシングメール、悪意のある広告、または不正なダウンロードを通じて拡散する。リムーバブルメディアを介した物理的な拡散は、メールフィルター、ブラウザのセキュリティ警告、そしてネットワークベースの脅威に対応するように調整されたほとんどのエンドポイント検出ツールを回避する。セキュリティ企業NS3.AIは、ユーザーが2月から影響を受けていることを確認しており、BinanceはMicrosoftの警告を公表後、自社のユーザーベースに直接共有した。

マイクロソフトが推奨する対策は具体的であり、異常に気づいたかどうかに関わらず、直ちに実施する価値があります。

• 取引に使用するすべてのWindowsマシンで、すべてのリムーバブルメディアの自動実行と自動再生を無効にします。

• オペレーティングシステムが許可している場合は、システムポリシーレベルでUSBドライブからの.lnkファイルの実行をブロックしてください。

• ウォレットアドレスをコピー＆ペーストする際は、必ず最初と最後の数文字が期待どおりの文字と一致していることを目視で確認してください。

• シードフレーズや秘密鍵をクリップボードにコピーすることは絶対に避けてください。直接入力するか、オペレーティングシステムに鍵を公開しないハードウェアウォレットを使用してください。

• 2月以降に取引用マシンで見慣れないUSBドライブを使用した場合は、Microsoftがセキュリティブログで公開した侵害指標と照らし合わせてシステムを確認してください。

住所確認の習慣こそが、ここで最も重要な防御策です。このマルウェアの仕組み全体は、被害者がコピーしたものが貼り付けられたものだと信じ込んでいることに依存しています。送金を確定する前に、送金先アドレスの最初と最後の4文字を手動で確認するトレーダーは、システムにマルウェアが存在するかどうかにかかわらず、この特定の攻撃を防ぐことができます。

資金提供を受けているトレーダーは、ドローダウン制限、ポジションサイズ、市場リスクについて多くの時間をかけて検討します。CryptoBanditsキャンペーンは、取引を実行するコンピューターもまた、リスク要因の一部であることを改めて認識させるものです。

クリップボードハイジャックは、あなたのトレーディング戦略がどれほど厳格であっても気にしません。ストップロスや日次損失制限も無視します。単に送金を待ち構え、それをリダイレクトするだけです。今年追跡したセキュリティインシデント全体を通して観察したところ、この種の損失を完全に回避しているトレーダーは、必ずしも技術的に最も高度なトレーダーではありません。

彼らは、基本的な本人確認を、あらゆる取引におけるリスク管理と同様に、譲ることのできない習慣として捉えている。すべての住所を確認し、見慣れないUSBドライブはすべて疑う。確認にかかる時間はわずか数秒。確認を怠った場合の損失は計り知れない。