IIJ(株式会社インターネットイニシアティブ、東京都千代田区)のSOC(Security Operations Center)チームによると、今年8月下旬以降、IIJなどを狙ったマルウェア配布キャンペーンを観測しているということです。IIJは今年4月に法人向けメールセキュリティサービス「IIJセキュアMXサービス」において2024年8月以降、サイバー攻撃を受けてメールアカウントの認証情報やメール本文等が漏洩したことを明らかにしています。
今年8月末から‥顧客メールにも送信の可能性
IIJのSOCチームによると、今年8月末ころからIIJ広報の問い合わせメールアドレスなどに著作権の侵害を訴えるメールを偽装したフィッシングメールが送信されているということです。送信元メールアドレスはフリーメールが使われており、メディアやアニメーションを扱うエンターテインメント企業を騙っているということです。メールの内容はいずれも、SNS広告に著作権で保護されているコンテンツが含まれているとするもので、その資料として短縮URLがメールに貼り付けてあるということです。その短縮URLにアクセスするとさらに別の短縮URLにリダイレクトされて、その後にZIPファイルがダウンロードされるということです。このフィッシングメールはIIJ広報の問い合わせメールアドレスにとどまらず、IIJのサービスを利用している顧客に対しても送信されているとみられ、攻撃は広く展開されている可能性があるということです。
IIJが受信したメールからダウンロードされたZIPファイルからはRhadamanthys StealerとPXA Stealerが確認されているということです。著作権侵害通知を装ってRhadamanthys Stealerに感染させる攻撃は2024年10月ころからサイバーセキュリティ企業のレポートで報告されており、またPXA StealerはPython言語で記述された情報窃取型マルウェアだということです。PXA Stealerの窃取対象はクレジットカード情報やウェブブラウザに保存された認証情報やクッキー情報、暗号資産のウォレット情報など多岐にわたるということです。PXA Stealerは窃取した情報を外部に送信する際にTelegram Botを使う特徴があるということです。
Telegramベースの犯罪マーケットプレイスと連携
SentinelLABSによると、PXA Stealerを基盤とした大規模なインフォスティーラー攻撃キャンペーンは2024年後半に表面化したということです。この脅威はベトナム語を話す攻撃者によって実行され、データを盗み出して販売するTelegramベースの組織的サイバー犯罪マーケットプレイスと明らかなつながりをもっているということです。PXA Stealerは高価値なデータを自動化されたボットネットワークを介してTelegramチャンネルへ盗み出し、盗み出したデータは犯罪プラットフォームで収益化されて下流のサイバー犯罪者に売却され、下流のサイバー犯罪者は購入したデータを使って暗号資産の窃盗や組織への侵入を行っているということです。
PXA Stealerの活動クラスターはSentinelLABSによると、2024年後半から継続して活発化しており、これまでに盗まれたデータには20万件を超える固有のパスワード、数百件のクレジットカード記録、400万件を超えるCookieが含まれおり、流出したログから4000件を超す固有のIPアドレスが特定されているということです。感染したシステムは少なくとも62カ国におよんでおり、特に韓国、アメリカ、オランダ、ハンガリー、オーストラリアでの被害が目立っているということです。
IIJは今年4月、IIJが法人向けに提供しているメールセキュリティサービス「IIJセキュアMXサービス」において顧客情報の一部が外部に漏洩したと発表、2024年8月3日以降に不正なアクセスを受け、不正なプログラムが実行されたことによりIIJセキュアMXサービスで送受信された電子メールの情報や認証情報が漏洩したことを明らかにしました。被害を受けた顧客は132契約、メールアカウント数で31万1288件にのぼりメディアで広く報じられました。
【出典】
https://wizsafe.iij.ad.jp/2025/10/2018/
https://www.iij.ad.jp/news/pressrelease/2025/0422-2.html