Amadey/StealCのMaaS基盤を一斉無力化——回収2,700万件の認証情報、326サーバー/142ドメイン解体で“組立ライン”に痛打です

今日の深掘りポイント

• MaaS（Malware-as-a-Service）の供給網そのものを断ち切るディスラプションで、初期アクセスから窃取・転売・ランサム展開までの“組立ライン”に実害を与えた点が本件の本質です。
• 2,700万件の窃取認証情報の回収は、被害通知と強制リセットを通じた二次被害の抑止に直結しますが、既に転売・再利用済みの分もあるため、残余リスクは相応に残る前提で運用すべきです。
• 326台のサーバーと142ドメインの無力化は、攻撃者の運用コストを一時的に押し上げます。とりわけ決済・ホスティング・DNSといった「MaaSの支え木」への圧力が効きます。
• 約4,700万ドル相当の暗号資産の使用制限は、アフィリエイトや“ログショップ”の支払い遅延・不履行を誘発し、攻撃エコノミーの流動性に冷や水を浴びせる効果があります。
• 高い信頼性と即時性を備えた報であり、現場はIoC適用だけでなく、認証・トークンの棚卸しと強制リセット、ダウンストリームの侵害探索まで一気通貫で踏み込む価値がある局面です。

はじめに

Europolと民間企業の連携により、2018年から活動してきたAmadeyと、2023年登場のStealCという2系統のマルウェア基盤が一斉に無力化されました。報道によれば、2,700万件の盗まれた認証情報が回収され、326台のサーバーと142のドメインが解体され、さらに約4,700万ドル相当の犯罪起源の暗号資産が特定・使用制限されたとされています。両者はいずれもMaaSモデルで、サイバー犯罪者に低コスト・低スキルでの攻撃実行環境を提供してきました。今回の摘発は、単一ファミリの停止ではなく「エコシステム全体の稼働率を落とす」狙いが明確で、欧州主導の越境オペレーションの実効性と存在感を示す材料にもなっています。
参考: The Hacker Newsの報道

深掘り詳細

事実整理（一次情報ベースの数字）

• 法執行と民間の協働により、Amadey/StealCの運用基盤が広範に無力化されたと報じられています。具体的には、2,700万件の盗まれた認証情報の回収、326サーバーと142ドメインの解体が含まれます。さらに、約4,700万ドル相当の犯罪起源の暗号資産が特定され、使用が制限されたとされています。
• Amadeyは2018年から活動するC++製のモジュール式バックドアで、フィッシングや侵害WordPressサイト経由で拡散してきたとされます。StealCは2023年に出現し、Chromium系ブラウザやデスクトップアプリからの情報窃取を主要機能とするスティーラーです。
• 報道は、AmadeyのC2台数が2023年に5台から30台へ増加し、2025年には11,635件のサンプル配布が観測されたと指摘しています。いずれも、供給網としての“量”が重要なファクターであったことを裏づける定量情報です。
  出典: The Hacker News

編集部の視点（インサイト）

• “仕入れが止まると製造ラインは止まる”——MaaSディスラプションの効能
  今回はペイロード（スティーラー/ローダー）だけでなく、配布・C2・マネタイズというサービス層に同時圧力をかけています。攻撃者は代替を探しますが、支払とホスティングの信頼性が揺らぐ局面でアフィリエイトの離反が進み、短期的に攻撃頻度・成功率の低下が期待できます。これは単一ファミリ駆除より費用対効果が高いアプローチです。
• 回収認証情報2,700万件の「攻防の窓」
  回収＝脅威消滅ではありません。既にクレデンシャルが再利用・転売され、SaaS/OAuthリフレッシュトークンやアプリパスワード、ブラウザ保存秘密など二次資産に派生している可能性があります。熱が冷めないうちに、強制リセットとトークン無効化、そして「正規アカウント濫用（T1078）」のハンティングをセットで実施することが、実害低減の核心です。
• EU主導の地政学的プレゼンス
  欧州の法執行・司法協働は、国境を越えるC2/ドメイン・資金流を同時に攻める「全方位」モデルを確立しつつあります。これは、民間の脅威インテリジェンス提供と相まって、摘発後のIoC共有から被害者通知まで一気通貫のスピードを生みます。アジアの企業・公的機関にとっても、こうした越境連携の波に乗ること自体が防御力になります。
• マーケットの反応（仮説）
  代替のスティーラー/ローダーへの移行は短期的に進むはずですが、決済口座の凍結リスクとC2・ドメインの高回転化により、攻撃者の運用コストとTTV（Time to Value）は悪化する可能性があります。これが防御側に与える「時間の猶予」を、パスワードレス化やEgress制御強化など恒久対策に振り向けられるかが勝負どころです。

脅威シナリオと影響

以下は、公開情報に基づく一般化と編集部の仮説を組み合わせたシナリオです。具体的な技術はMITRE ATT&CKに沿って整理します。

• シナリオA：エンドポイント経由での認証情報窃取から、正規アカウント濫用へ

  1. 初期侵入：フィッシングリンク/添付（T1566.002/T1566.001）、あるいはドライブバイ（T1189）を介したユーザー実行（T1204）です。
  2. 実行・永続化：スティーラー/ローダーの実行（例：PowerShell等 T1059.001）、レジストリRunキーやスケジュールタスクで永続化（T1547.001、T1053.005）です。
  3. 資格情報アクセス：ブラウザ保存のパスワード・Cookie・トークンの取得（T1555.003、T1552）です。
  4. C2・流出：WebプロトコルでC2へ送信（T1071.001、T1041）し、ログショップに並びます。
  5. 横展開（下流攻撃者）：有効アカウントの悪用（T1078）でVPN/SSOへ侵入、権限昇格（T1068など）と横移動（T1021）を経て、情報窃取や暗号化（T1486）に至ります。
     影響：MFA未導入領域、例外化された旧SaaSやレガシーVPN、ブラウザ保存秘密の多い端末が特に脆弱です。SaaSの長寿命トークンが温存されている場合、パスワード変更だけでは遮断できない残余経路が生じます。

• シナリオB：開発・運用環境の“秘密”流出からサプライチェーン化

  1. ローカルに保存されたクラウドCLI認証、レジストリ・設定ファイル内のAPIキー（T1552）を窃取します。
  2. CI/CDやIaCストレージへのアクセス（T1078）から、コンテナレジストリ・機密ストアへ水平移動（T1021）します。
     影響：SaaS/クラウド管理プレーンを踏み台に、第三者組織の環境や顧客テナントに波及するサプライチェーン・リスクを生みます。トークン・キーの配置とローテーションの運用不備が被害拡大のトリガです。

セキュリティ担当者のアクション

• インテリジェンスの即時取り込み

  • 法執行機関・連携企業が公開するIoCや被害通知の参照先を確認し、ゲートウェイ・EDR・DNSフィルタに適用します。The Hacker Newsの報道を起点に、公式発表や付随レポートの入手を進めてください。
  • MISPやTIPでフィードを反映し、TTL（有効期限）を短く設定して高速ローテーションのC2にも追随します。

• アカウント・トークンの棚卸しと強制措置

  • 影響範囲が疑われるユーザーのパスワードを強制リセットし、MFAを未導入の領域に優先展開します。
  • OAuth/リフレッシュトークン、メール委任、アプリパスワード、ブラウザ保存パスワードの無効化・削除をセットで実施します（パスワード変更だけでは不十分です）。
  • ブラウザの企業ポリシーで「パスワード保存」「インポート」を制限し、開発者の端末ではクラウドCLIの長寿命認証を避ける運用に切り替えます。

• ハンティングと検知の強化（ファミリ非依存の挙動ベース）

  • ユーザー領域（%AppData%/Roaming、Temp等）に不審な実行ファイルが短時間で生成・実行され、直後に未知ドメインへPOST/PUTを行う挙動を検知します（T1204、T1071.001、T1041）。
  • 新規作成のスケジュールタスクやRunキー登録（T1053.005、T1547.001）、WMI購読（T1546.003）の急増を監視します。
  • ブラウザの「Login Data」など資格情報DBファイルへの不審アクセス、Cookieの大量読み出し後に圧縮・送信されるパターンを監視します（T1555.003）。
  • VPN/IdPで短時間に多拠点からのログイン試行や、MFAバイパスを狙う「セッション乗っ取り」様相を相関検知します（T1078）。

• ネットワーク・Egressの見直し

  • 既知C2のブロックに加えて、企業からのHTTP/HTTPS外向き通信先を厳格にセグメント化し、未知ドメイン・新規登録ドメイン（DGAs/新設）への通信をプロキシで抑止します。
  • Cloudストレージや匿名化サービスへの直行通信を原則禁止し、許可リスト方式に転換します。

• 組織内コミュニケーションと教育

  • 「今回の回収はチャンス。いま全社でリセットと確認をやる理由」を明確に伝え、ヘルプデスクと連動した短期集中の是正ウィンドウを設けます。
  • 広告経由のソフト入手・“便利ツール”の安易な導入を禁じる運用ルールを再周知します。

• 中期的取り組み（攻撃経済に対抗する恒久策）

  • パスワードレス（FIDO2/Passkeys）と条件付きアクセスを推進し、クレデンシャル単独の価値を引き下げます。
  • 端末ブラウザへの秘密保存を原則やめ、秘密管理は企業管理のボールトに一元化します。
  • バグ修正やサプライチェーンのSBOM整備に加え、開発・運用での長寿命トークン全廃とローテーション自動化を完了させます。

参考情報

• The Hacker News: Amadey and StealC Malware Network Dismantled; 27M Stolen Credentials Recovered
  https://thehackernews.com/2026/06/amadey-and-stealc-malware-network.html

本件は、数値上の規模だけでなく、攻撃エコノミーの「支え木」を同時に折りにいく設計が秀逸です。防御側に与えられた“時間の猶予”を、認証の近代化とトークン衛生、Egress統制、挙動検知の底上げに確実に転換していきたい局面です。繰り返しになりますが、摘発はゴールではなくリセットボタンにすぎません。ここで前へ出る組織ほど、次の波でも揺れにくくなります。今回を、その一歩にするべきです。