2025年10月30日、セキュリティ研究者によって新たなサイバー攻撃キャンペーンが確認されました。
それは、2019年から活動を続けるバンキング型マルウェア「Lampion Stealer(ランピオン・スティーラー)」の最新版で、
従来のメール詐欺よりもさらに巧妙な**「ClickFix(クリックフィックス)」攻撃**という手口を取り入れています。
この攻撃では、ユーザーが「エラー修復のためのクリック」だと信じて操作した瞬間、
実際にはマルウェアが静かにインストールされ、ログイン情報が抜き取られてしまうという極めて悪質な手法が確認されています。
- Lampion Stealerとは?
- 今回確認された新型の特徴:「ClickFix」ソーシャルエンジニアリング
- 攻撃の進化と感染経路の変化
- 「ClickFix」画面の実態
- 感染メカニズムと持続化の仕組み
- 攻撃者のインフラ構成と回避能力
- 感染を防ぐための対策
- まとめ:Lampionは“古参”でも進化を止めない
Lampion Stealerとは?
Lampion Stealerは主にポルトガルの金融機関を標的にしてきた情報窃取型マルウェアで、
2019年以降、定期的に亜種が確認されています。
銀行のログイン情報、クレジットカード情報、メールアカウントの資格情報などを狙う典型的な「銀行型トロイの木馬」です。
近年では、攻撃対象がヨーロッパ全域に広がっており、
その攻撃手法も年々洗練され、検知をすり抜けるための多段階感染構造が導入されています。
今回確認された新型の特徴:「ClickFix」ソーシャルエンジニアリング
これまでのLampion Stealerは主に「請求書」や「銀行取引通知」を装った偽メールに添付されたリンクから感染していました。
しかし今回のバージョンでは、ユーザーに“修復操作”を促す新手の誘導手口が採用されています。
研究チーム(Bitsight社)によると、この「ClickFix」攻撃は次のような流れで行われます。
- まず、正規の銀行から送られたように見せかけた偽の振込通知メールを受信する。
- メールにはリンクではなく、ZIPファイルの添付があり、ユーザーがこれを開くと感染が始まる。
- ファイルを開くと「Windowsのエラー修復が必要です」などの偽エラーメッセージ画面が表示される。
- 「修復」や「確認」と書かれたボタンをクリックすると、
その裏でマルウェアのダウンロードと実行が進行する。
このクリック操作がまるで“修正作業”に見えることから、
多くのユーザーが疑いを持たずに感染を許してしまうのが最大の特徴です。
攻撃の進化と感染経路の変化
Bitsightの分析によると、Lampionグループは過去1年の間に感染手法を段階的に刷新しており、
次のような変化が見られました。
- 2024年9月:リンク型からZIP添付型へと変更(セキュリティ検知を回避するため)
- 2024年12月:「ClickFix」誘導メッセージを攻撃チェーンに導入
- 2025年6月:初期段階に永続化機能(Persistence)を追加し、再起動後も感染を維持
これにより、感染が一度成立すると完全削除が非常に難しくなっています。
「ClickFix」画面の実態
感染した端末に表示される偽エラーダイアログは、まるでMicrosoft純正のWindowsエラー通知のように見えます。
背景やアイコン、ボタンの配置まですべて本物そっくりに模倣されており、
一見して悪意のある表示とは気づけません。
クリックした瞬間、ユーザーの操作を裏で利用してマルウェアを展開する仕組みが組み込まれており、
クリック操作そのものが“感染トリガー”となる点が従来攻撃との大きな違いです。
この巧妙な仕組みにより、Lampion Stealerはアンチウイルスソフトをすり抜け、目に見えない形で個人情報を送信します。
感染メカニズムと持続化の仕組み
Lampion Stealerの感染は、単純な「添付ファイルを開いたら終わり」ではなく、複数段階に分かれた巧妙な仕組みで進行します。
研究チームの解析によると、主な感染工程は以下の通りです。
- ユーザーがZIPファイルを展開
内部には一見無害に見えるVisual Basic(VBScript)スクリプトファイルが含まれています。 - VBScriptが実行されると、難読化されたコードが別のスクリプトをダウンロード
このコードはわざと複雑に暗号化されており、セキュリティソフトによる検出を回避します。 - 最終段階でDLL形式の本体マルウェアが読み込まれ、情報窃取活動が開始
このDLLには、ブラウザの保存パスワード・オンラインバンキング情報・メールログイン資格情報を抜き取る機能が含まれています。 - 永続化機能により再起動後も感染状態を維持
2025年6月以降のバージョンでは、Windowsのスタートアップやタスクスケジューラに登録されることで、再起動しても自動で活動を再開するよう改良されています。
攻撃者のインフラ構成と回避能力
今回のキャンペーンでは、Lampionグループのインフラ構成にも新たな特徴が見られます。
- 世界中の複数のクラウドサービスを悪用して感染サーバーを分散化
- 各感染段階で別のサーバーを利用するマルチステージ構成
- IPブラックリスト機能を導入し、研究者やセキュリティ企業からの解析アクセスを拒否
この結果、被害者ごとに異なるサーバー・異なるマルウェア構成を配信することが可能になっており、
単一の検知ルールでは防ぎきれない高度な分散型設計となっています。
さらにBitsightのレポートでは、毎日数十台規模の新規感染が確認され、数百の感染端末が攻撃者の制御下にあると報告されています。
これほど大規模な感染を維持できるのは、攻撃グループが自動化されたスクリプト生成システムを持っていることを示しています。
感染を防ぐための対策
Lampion Stealerのような情報窃取型マルウェアは、感染すると被害者本人も気づかないままデータが外部に送信されるため、
「感染しないこと」が最も重要な防御策です。
① 添付ファイルを開く前に送信元を必ず確認
- 銀行や企業名を装ったメールでも、送信元ドメインを慎重に確認。
- ZIPファイルや実行形式(.vbs/.exeなど)の添付は原則開かない。
② OS・セキュリティソフトを常に最新状態に保つ
- マルウェアの多くは古い脆弱性を悪用します。
- Windows Updateを定期的に適用し、セキュリティソフトのリアルタイム保護をONにしておく。
③ 不審な「修復」「確認」メッセージは絶対にクリックしない
- 「ファイルの問題を修正する」「Windowsエラーを解決する」といったメッセージは要注意。
- 特にZIPファイルを開いた直後に表示された場合は即座にウィンドウを閉じる。
④ 感染の疑いがある場合はネット接続を切断してスキャン
- オンラインバンキングやメールのパスワードは早急に変更。
- 信頼できるウイルス対策ソフトで完全スキャンを実施。
まとめ:Lampionは“古参”でも進化を止めない
今回の「ClickFix」手法は、単なるフィッシング詐欺の枠を超え、
ユーザー自身にクリック操作を促す“心理トリック”を利用した新たな脅威です。
Lampion Stealerは2019年から活動する古参マルウェアながら、
2025年現在も戦術を次々と刷新し、検知をすり抜けながら世界中に感染を広げています。
セキュリティ専門家たちは、
「Lampionのように一見古いマルウェアでも、ソーシャルエンジニアリングの進化によって再び脅威化している」と警鐘を鳴らしています。
あなたのPCやメール環境が標的になる可能性はゼロではありません。
見慣れたメッセージに“修正”を促されても、ワンクリックで感染する危険性がある──。
その一瞬の油断が、あなたのアカウントをすべて失う引き金になるかもしれません。
コメント欄では、「実際に似たメールを受け取った」「企業で対策している方法」などの報告もお待ちしています。
現場の声が、次の被害を防ぐ手がかりになります。
