国際連携によるテイクダウンの概要
MicrosoftとEuropolは、情報窃取型マルウェア「StealC」とローダー「Amadey」が利用していた犯罪インフラを一斉に停止した。Microsoft Digital Crimes Unit(DCU)は裁判所命令に基づき、両者の中核となる200超のC2(指令・制御)ドメインとIPアドレスを無力化した。各国法執行機関と複数のセキュリティ企業が連携し、運用基盤そのものを断つ形で進められている。
脅威の特徴と想定される影響
StealCはブラウザ等に保存された認証情報やクッキー、暗号資産関連情報などの窃取が主目的である。Amadeyは侵入後に追加マルウェアを投下する役割を担い、感染拡大や多段攻撃の起点となり得る。Microsoftは約1万8000台の感染端末を特定し保護対応を開始したとしている。2026年5月上旬の2週間で14万台超の感染関与が報告され、広範なばらまき・MaaS的運用が示唆される。
情シスが優先して行う確認ポイント
テイクダウン後も残存感染や代替C2への切替が起こり得るため、端末とネットワークの両面で点検が必要である。EDR/AVの検知履歴を確認し、StealC/Amadey関連のアラートや不審なプロセス、永続化の痕跡がないかを洗い出す。加えて、DNS/Proxy/FWログから未知ドメインや海外IPへの周期的なアウトバウンド通信を探索し、該当端末は即時隔離する。認証情報窃取が前提のため、影響が疑われるアカウントはパスワード変更とセッション失効、MFA再確認を同時に進める。
再発防止に向けた運用上の打ち手
侵入起点となりやすいブラウザ、Office、メールクライアント、VPNクライアント等の更新を継続し、既知脆弱性の放置を避ける。不審な添付やマクロ、圧縮ファイル実行を抑止するため、メールゲートウェイと実行制御、ユーザー教育を組み合わせる。最小権限を徹底し、ローカル管理者権限を削減して横展開のリスクを下げる。検知時の隔離、フォレンジック、資格情報リセットまでの手順を事前に整備しておく。
参照: MicrosoftとEuropol、情報窃取マルウェア「StealC」「Amadey」のインフラを一斉摘発 200超のC2ドメインとIPを停止