ニュース

Omnistealerはブロックチェーンを利用して、手に入るものは何でも盗み出します

ピーター・アルンツ| 2026年4月14日
すべてを盗む

「Omnistealer」と呼ばれる新たな情報窃取型マルウェアが、ブロックチェーンを恒久的なマルウェアのホスティングプラットフォームに変えつつあり、これは企業にとっても一般ユーザーにとっても悪いニュースだ。

マルウェアがペイロードをパブリックなプラットフォームに保存するのはごく一般的な手法であり、特にGoogleドキュメントOneDriveGitHubnpmPyPIなど、ダウンロード元の信頼性を高めるようなプラットフォームが好んで利用されます。

マルウェアの配布者にとっての問題は、こうしたサイトが削除されてしまう可能性があることだ。時には時間がかかり、手間もかかるが、削除は可能である。Omnistealerは、TRON、Aptos、Binance Smart Chainといったパブリックブロックチェーン上のトランザクション内にステージングコードを保存することで、この問題を回避している。

ブロックチェーンの取引の中には、任意のデータ(メモ、メタデータ、スマートコントラクトの入力値など)を少量含めることができるものがありますが、攻撃者は無害なデータではなく、次のようなものを挿入します:

  • 暗号化されたテキスト
  • エンコードされたコマンド
  • マルウェアのコード断片

また、ブロックチェーンは追記専用であるため、一度ブロックにマイニングされてしまえば、それらの悪意のあるコードは事実上削除不可能となります。ドメインの無効化やGitHubリポジトリの削除は可能ですが、わずか数百バイトのマルウェアのステージングコードを削除するためだけに、TRONやBSCをロールバックすることはできません。

これにより、パブリック・レジャーは、防御側が簡単に破壊できない、回復力があり、検閲耐性のある指揮統制インフラへと変貌する。

仮想通貨との明らかな関連性があるにもかかわらず、Omnistealerの標的は仮想通貨投資家だけにとどまりません。Omnistealerがシステムに侵入すると、次のような対象を狙います:

  • LastPassなどのクラウド同期機能を備えた一般向けツールを含め、10種類以上のパスワードマネージャー。
  • Chrome Firefoxなどの主要なブラウザは、保存されたログイン情報やセッションデータを収集しています。
  • Google ドライブの認証情報を含むクラウドストレージのアカウント。
  • MetaMaskやCoinbase Walletなどの人気拡張機能を含め、60種類以上のブラウザベースの暗号資産ウォレット。

 これは「文字通りあらゆるものを吸い取る」と捜査官らが評する、ワンストップ型のデータ収集ツールとして設計されている

この攻撃は通常、「単純な」コーディングの仕事から始まります。請負業者がLinkedIn オファーを受け、GitHubのリポジトリを取得し、一見すると普通のプロジェクトコードのように見えるものを実行します。その裏では、そのコードがブロックチェーンにアクセスし、トランザクションデータを読み取り、それを指針として最終的なペイロードを取得・復号化します。

研究者らの推計によると、アダルト業界のプラットフォームやフードデリバリーサービスから、金融コンプライアンス企業、防衛関連サプライヤー、さらには米国政府機関に至るまで、すでに約30万件の認証情報が漏洩しているという。 

できること 

ブロックチェーンからマルウェアを削除することはできませんが、このような攻撃の影響を受ける可能性を大幅に減らすことは可能です。まずは、盗まれる可能性のある情報を減らすこと。そして、情報をよりしっかりと保護することです。

  • 「夢の仕事」や、自分から申し出ていない契約のオファーについては、原則として疑ってかかるべきです。特に、すぐにプラットフォーム外のチャット(Telegram、Discordなど)に移ろうとしたり、非公開のリポジトリからコードを実行するよう求められたりした場合は注意が必要です。
  • 信頼できるパスワード管理ツールを使ってパスワードを厳重に管理し、重要または機密性の高いアカウントについては、多要素認証(SMSよりもアプリやキーを使用することを推奨)を有効にしてください。
  • 最新のリアルタイム型マルウェア対策ソリューションを使用して、Omnistealerのような脅威をブロック、検出、および削除してください。
  • 日常的に使っているユーザーアカウントやメインのワークステーションを、GitHubのプロジェクトや副業のテスト環境として使うのは避けましょう。代わりに、仮想マシンや別のシステムを使用してください。
  • 仮想通貨や銀行口座に不審なログインや出金がないか注意し、不正アクセスが疑われる場合は、資金を新しいウォレットに移してください。

正直なところ、シークレットウィンドウには限界があります。

情報漏洩、ダークウェブでの取引、クレジットカード詐欺。Malwarebytes Identity Theft これらすべてを監視し、迅速に警告を発し、さらに個人情報盗難保険も付帯しています。 

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

ニュース
JDownloaderのロゴ

攻撃者は、JDownloaderのインストーラーのダウンロードファイルをマルウェアにすり替えた

5月15, 2026

JDownloaderのウェブサイトがハッキングされ、インストーラーのダウンロードリンクから数日間、マルウェアが配布されていました。

AI
WhatsAppとInstagram

Metaのチャットプライバシーに関する、分かりにくい新たな取り組み

5月15, 2026

WhatsAppは現在、Metaが読み取れないという「消えるAIチャット」機能を提供しています。一方、Instagram 、Metaがメッセージを読み取れないようにしていた機能をInstagram 。

Privacy
Yahoo!メールのロゴ

Malwarebytes 一部のYahoo MailのリダイレクトをMalwarebytes 理由

5月14, 2026

一部のYahoo Mailユーザーは、不審なサードパーティのドメインへのバックグラウンド接続が原因で、Malwarebytes 繰り返し表示される場合があります。その理由をご説明します。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺