2025年9月3日公開。セキュリティ研究者によって、新たなPythonベースの情報窃取型（せっしゅがた）マルウェア「Inf0s3c Stealer」が分析されました。このマルウェアはWindows環境を標的とし、Discordを悪用して被害者のデータを外部へ自動送信する仕組みを備えています。特筆すべきは「隠蔽（いんぺい）・収集・圧縮・送信」という一連の流れを完全自動化している点で、一般ユーザーから企業環境まで幅広くリスクを及ぼします。

• 何が起きているのか（概要）
• バージョンとビルド構成
• 感染の挙動とエラーコード的特徴
• 技術的背景（なぜ見つけにくいのか）
• 公式対応状況（現時点での情報）
• 対象ユーザー層
• 他ユーザーの報告とコミュニティの声
• 二次被害と長期的リスク
• 防御策と推奨対応
• 編集部の見解
• フォーラム風コメント欄
• Inf0s3c Stealerへの具体的な対処と防御手順
  • (1) ネットワークを即座に切断する
  • (2) 不審なプロセスとスタートアップを確認する
  • (3) 一時フォルダーを調査する
  • (4) フルスキャンを実行する
  • (5) Discordと関連アプリのセッションをリセットする
  • (6) システムの復元や再インストールを検討する
  • (7) 再発防止策を組み込む
• 関連する過去の不具合・攻撃との比較
• ユーザーフォーラム（体験共有）
• 編集部からの結び

何が起きているのか（概要）

Inf0s3c Stealerは、64ビットの実行形式ファイル（PEファイル）としてWindowsに侵入します。内部はPythonコードで書かれていますが、UPX圧縮とPyInstallerで難読化されており、通常のウイルス対策ソフトでは検知をすり抜けやすくなっています。感染すると、ユーザーのPC内を徹底的に走査し、認証情報やファイルを盗み出してDiscordの攻撃者チャンネルへ送信します。

バージョンとビルド構成

研究者が解析したサンプルは容量6.8MBの64ビット実行ファイルで、UPX 5.02圧縮後にPyInstallerでパッケージ化されていました。これによりPythonスクリプトやライブラリがバイナリ内部に隠され、アンチウイルスの静的解析を回避する仕組みが確認されています。

感染の挙動とエラーコード的特徴

実行直後から、以下の動作が記録されています。

• システム情報の収集：CPUやメモリ、ネットワーク構成を取得
  
  
• ユーザーデータの探索：デスクトップやドキュメント、ピクチャ、ダウンロードフォルダを調査
  
  
• 資格情報の窃取：保存済みのWi-Fiパスワード、ブラウザのCookieやオートフィル情報、暗号資産ウォレット、DiscordやTelegramのトークンを収集
  
  
• 画面キャプチャ：スクリーンショットやWebカメラ画像の取得
  
  
• 偽のエラーメッセージ表示：利用者を欺くダイアログで存在を隠す
  
  
• 圧縮と暗号化：収集物をRAR形式にまとめ、既定パスワード「blank123」で暗号化
  
  
• Discordへの送信：攻撃者が管理するDiscordチャンネルに自動アップロード
  
  

これらの一連の動作は完全にバックグラウンドで進行し、ユーザーは気づかないままデータを失う危険があります。エラーコードは表面上は表示されず、むしろ「偽エラー」で安心させる点が厄介です。

技術的背景（なぜ見つけにくいのか）

Inf0s3c Stealerは、標準的なWindows APIを広範に呼び出すことで、通常のアプリと区別がつきにくい挙動を示します。さらにアンチ解析機能として仮想環境チェックを行い、セキュリティ研究者の検体解析を妨害します。加えて、アンチウイルスの更新サイトへの接続を遮断する仕組みまで備えているため、感染後に検知される可能性を大幅に下げています。

公式対応状況（現時点での情報）

本件についてセキュリティベンダー各社から緊急パッチや専用駆除ツールはまだ公表されていません。ただし、複数の脅威インテリジェンス共有ネットワークにより検体情報が流通しており、主要アンチウイルス製品は早晩シグネチャ対応を進めると見られます。現時点では「検知回避力が高い未知系マルウェア」として要警戒状態です。

対象ユーザー層

影響を受けるのは、Windows環境を利用する一般ユーザーから企業組織まで幅広い層です。特に以下がリスクにさらされています。

• Discordを業務利用している企業ユーザー
  
  
• 暗号資産ウォレットをローカルPCに保存している投資家
  
  
• 公共Wi-Fiや共用端末での利用者
  
  

つまり「普段通りの生活環境」でも、感染経路次第で誰もが狙われる可能性がある」のが特徴です。

他ユーザーの報告とコミュニティの声

セキュリティ掲示板やX（旧Twitter）では、「Discordが便利ツールであると同時に“窃取チャネル”として悪用されるリスクが増えている」との声が目立ちます。研究者からは「今回のInf0s3cは過去のUmbral-Stealerと同系統で、さらに改良されている」との指摘もありました。ユーザーコミュニティでも「Discordの通信が増えたら要注意」といったアドバイスが広がっています。

二次被害と長期的リスク

盗まれたデータは、アカウント乗っ取り、金融詐欺、身元盗用に悪用されます。特にパスワードやブラウザ履歴が奪われると、「セキュリティ質問への回答」や「行動パターンの推測」にも利用され、本人確認を突破されるリスクが高まります。 さらにRARファイルがパスワードで保護されているため、侵入後の通信検知も難しくなります。

防御策と推奨対応

現時点で利用者が取れる主な対策は以下の通りです。

(1) Discordクライアントやブラウザの通信を監視し、不審な送信を検知する
(2) Windowsのスタートアップやタスクスケジューラに見慣れない項目がないか確認する
(3) 最新のアンチウイルス定義を適用し、フルスキャンを実行する
(4) 不審な実行ファイル（特にUPX圧縮された.exe）を開かない
(5) ネットワークでDiscordのWebhook通信を監視・制御する

重要なのは「感染後に削除する」より「感染前に気づく」ことです。Discordという日常的なアプリが利用されているため、違和感を感じたらすぐに調査する姿勢が欠かせません。

編集部の見解

Inf0s3c Stealerは、Pythonという身近な言語で書かれていながら、従来の単純なスクリプト型を超えた高度な機能を備えています。セキュリティチームにとっては「軽視できない新潮流」の一例です。「便利なコミュニケーションツールが攻撃インフラに転用される」という現実に、ユーザー一人ひとりが意識を高める必要があります。

フォーラム風コメント欄

ユーザーA（企業シス管）
「社内のDiscord利用を制限するか悩んでいます。便利ですが、こういう悪用事例を見ると怖いですね。」

ユーザーB（個人投資家）
「ウォレット情報まで盗むと聞いてゾッとしました。やはり暗号資産はオフラインで管理しないとダメですね。」

ユーザーC（セキュリティ研究者）
「Inf0s3cはPyInstaller由来の特徴が多いので、組織はYARAルールで検出を強化すべきです。」

ユーザーD（一般ユーザー）
「怪しい.exeを開かないって当たり前のことだけど、知人から送られてきたファイルでも警戒しなきゃと痛感しました。」

Inf0s3c Stealerへの具体的な対処と防御手順

ここからは、Windows環境でInf0s3c StealerのようなDiscord経由の情報窃取型マルウェアに遭遇した場合に取るべき手順を、技術手順書のように整理していきます。焦らず時系列で確認・実行することが、被害を最小化する鍵です。

(1) ネットワークを即座に切断する

感染が疑われた段階で、まずインターネット接続を遮断してください。LANケーブルを抜く、Wi-Fiをオフにするなど物理的な方法が確実です。これによりDiscordへの自動データ送信（エクスフィルトレーション）を一時的に止められます。

(2) 不審なプロセスとスタートアップを確認する

Ctrl+Shift+Escでタスクマネージャーを開き、不審な.exeやPython関連プロセスが動いていないか確認します。スタートアップやスケジュールタスクにも登録されている場合があるため、Windowsの「タスクスケジューラ」や「スタートアップ」フォルダーも点検してください。特に“Build.exe”や不自然なファイル名があれば警戒が必要です。

(3) 一時フォルダーを調査する

Inf0s3c Stealerは%TEMP%配下に作業用ディレクトリを生成し、SystemやCredentialsなどのサブフォルダーを作ってデータを蓄積します。エクスプローラーのアドレスバーに%TEMP%と入力し、該当する不審フォルダーが存在しないか確認してください。見つかった場合は削除の前に証拠保全としてコピーを取っておくのも有効です。

(4) フルスキャンを実行する

主要アンチウイルス製品を最新に更新し、フルスキャンをかけます。マルウェアがアンチウイルス更新サイトをブロックしている場合は、別ネットワークやセーフモードからの更新を試してください。検出されない場合でも、サードパーティのオンデマンドスキャナを併用するのが望ましいです。

(5) Discordと関連アプリのセッションをリセットする

Discordのパスワードを変更し、すべてのデバイスからログアウトしてください。同時にブラウザの保存パスワードや暗号資産ウォレット、Telegramなど連携アプリの認証情報も更新しましょう。盗難済みのトークンが悪用されるリスクを断ち切るために、パスワードの再設定は最優先です。

(6) システムの復元や再インストールを検討する

感染痕跡が消えない場合や、重要な業務端末である場合は、システムを初期化して復元する方が安全です。バックアップからの復旧も検討してください。「痕跡が完全に消えた保証がない」と感じた時点でクリーン再インストールを選択するのが確実です。

(7) 再発防止策を組み込む

駆除後は以下を徹底することが推奨されます。

• ダウンロードファイルを開く前に拡張子を必ず確認する
  
  
• Discordの不明な添付ファイルは安易に実行しない
  
  
• ネットワーク監視でDiscordの異常通信を検知できるよう設定する
  
  
• ユーザー教育を実施し、「便利ツールに見えるマルウェア」の存在を意識させる
  
  

関連する過去の不具合・攻撃との比較

Inf0s3c Stealerは、過去に観測された「Umbral-Stealer」と共通点が多く、PythonコードをPyInstallerでパッケージ化する流れやDiscordをエクスフィルトレーションの基盤に使う点も酷似しています。違いは、RAR形式でのパスワード暗号化、アンチ解析機能の強化、Webカメラ画像取得の追加など、より多機能化しているところです。

セキュリティ研究者によれば、こうした系統のマルウェアは「検出が追いつく前に別名義で亜種が流通する」傾向が強いため、シグネチャ頼みではなく挙動検知とネットワーク監視が必要とされています。

ユーザーフォーラム（体験共有）

ユーザーE（中小企業のIT担当）
「一度感染を疑ったPCは完全に初期化しました。大事な顧客データを扱っていたので、迷わず再インストールが正解だったと思います。」

ユーザーF（ゲーマー）
「フレンドから送られたMODっぽいファイルを実行したのが原因でした…。Discord経由の.exeは今後絶対に開きません。」

ユーザーG（研究者）
「RARでパスワード保護されるのが厄介ですね。セキュリティ製品側も“暗号化アーカイブの送信”を怪しい挙動として扱うべきです。」

ユーザーH（一般利用者）
「無料の便利ツールっていう言葉に弱い人は多いと思います。自分も油断していたら危なかったので、気を引き締めます。」

編集部からの結び

Inf0s3c Stealerは、「普段使いのアプリ＝Discord」を通信基盤にした巧妙な攻撃として注目すべき事例です。個人であれ企業であれ、「自分は狙われない」と思い込むことこそ最大の落とし穴です。

日常のファイル共有や会話に紛れ込む脅威だからこそ、日々の予防と、感染時の迅速な初動対応が最も重要です。

この記事が、みなさんの環境を守るための小さな盾となれば幸いです。