2025年12月、Windowsを狙う新しい情報窃取型マルウェア(infostealer:情報を盗む悪性ソフト)「JSCEAL」が、また一段ギアを上げてきました。表面だけ見ると「PDFが壊れてます」っぽいエラーに見えるのに、実際は攻撃者側の“関所”で、普通のブラウザをわざと弾いて分析を困らせる仕組みだ、という話です。暗号資産(cryptocurrency:仮想通貨)系アプリや取引アカウントを触る人はもちろん、会社PCでちょっと調べ物をしただけでも巻き込まれうるので、いま起きていることと対処をフォーラム感覚で整理します。 (Cyber Security News)
- まず何が起きている?(発生日時の整理)
- 「HTTP 404」と偽PDFエラーの正体
- 感染までの流れを時系列で(クリックから実行まで)
- 盗まれるものは「ログイン情報」だけじゃない
- どんな人が危ない?対象ユーザー層のリアル
- 公式対応状況:誰が止めてくれるの?
- いま取るべき対処:被害を広げない順番
- みんなの報告:Redditの“やられ方”が参考になる
- コメント欄で教えて:あなたのケースはどれ?
- まとめ:いちばん大事な結論
まず何が起きている?(発生日時の整理)
JSCEALは「偽広告→偽サイト→MSI→PowerShell→Node.js」の流れで、ログイン情報とウォレット周りを狙います。 (Check Point Blog)
時系列で押さえると、少なくとも2024年3月ごろから活動が確認され、2025年7月にCheck Point Research(チェック・ポイントの調査部門)が大規模な偽広告キャンペーンとして解説しました。 (Check Point Blog)
その後、2025年8月20日以降の新キャンペーンでは、Cato CTRLが「C2(command-and-control:司令サーバー)側の設計を作り直し、解析妨害を強化した」と報告しています。 (Cato Networks)
そして2025年12月11日にCato側の深掘り記事、12月12日に一般向けのニュース記事が出て、あらためて注意が広がった、という流れです。 (Cato Networks)
「HTTP 404」と偽PDFエラーの正体
そのHTTP 404や“壊れたPDF”は、あなたのPC不具合じゃなく「攻撃者が仕込んだ検閲ゲート」です。 (Cato Networks)
Catoの分析では、新しいC2基盤はアクセス条件がかなり厳しめで、PowerShellのUser-Agent(ユーザーエージェント:通信の名札)がないリクエストは即HTTP 404で返します。つまり普通のブラウザや多くのサンドボックス(sandbox:隔離解析環境)を門前払い。 (Cato Networks)
逆に“条件を満たす通信”だと、いきなり本体を渡さず、まず偽のPDFエラー(fake PDF error:PDF破損っぽい偽画面)を返して「ちゃんと釣れたか」を確認し、その後に/scriptへ取りに行かせる段階構造になっています。ここ、地味だけど効きます。 (Cato Networks)
感染までの流れを時系列で(クリックから実行まで)
攻撃の強さは“脆弱性(vulnerability:欠陥)”より「広告と導線設計」の勝ち方にあります。 (Check Point Blog)
(1) SNSや検索、動画経由の広告で「無料」「Premium(プレミアム)」「限定オファー」みたいな餌が出ます。 (Check Point Blog)
(2) それっぽい偽サイトに誘導され、Windows向けのMSIインストーラを落とさせます。 (Check Point Blog)
(3) MSIが動くと、PowerShellで環境情報を集めたり、次の段を取りに行く準備をします。 (Check Point Blog)
(4) 新キャンペーンではC2がHTTP 404や偽PDFで“ふるい”にかけ、通った端末だけが/scriptへ進みます。 (Cato Networks)
(5) 最終的にNode.js(ノード.js:JavaScript実行基盤)を使い、JSC(compiled V8 JavaScript:V8のコンパイル済みJavaScript)として隠された本体が動きます。 (Check Point Blog)
(6) さらにCatoは、PowerShell側の作りも手直しされ、タスクスケジューラ(Task Scheduler:タスク管理)操作がCOM経由になっている点などを挙げています。痕跡の取り方が一段むずい。 (Cato Networks)
盗まれるものは「ログイン情報」だけじゃない
JSCEAL/WeevilProxyは、ブラウザ・拡張機能・ハードウェアウォレット周辺まで視野に入った“総取り”型です。
WithSecure(ウィズセキュア)は別名WeevilProxy(ウィービルプロキシ)として追っていて、ブラウザや拡張機能、ハードウェアウォレットアプリなどからの情報流出、さらにブラウザ拡張機能を“オンザフライ(on the fly:その場で)”で改変するような手口まで言及しています。ここ、正直かなりイヤなタイプです…。
Bitdefender側の追跡でも、同系統の誘導がMeta(メタ:旧Facebook)からGoogle広告やYouTubeへ広がる流れが語られていて、「入口が変わるだけで中身は情報窃取」という嫌な連鎖が続いています。 (Bitdefender)
どんな人が危ない?対象ユーザー層のリアル
「暗号資産ユーザー向け」だけど、会社PCでも“個人の閲覧”が混ざると一気に現実になります。
狙い撃ちされやすいのは、取引所ログイン、ウォレット操作、TradingView(トレーディングビュー)系ツール、あるいは「分析ツールのデスクトップ版」を探している層。 (Check Point Blog)
一方でWithSecureは、暗号資産と関係ない欧州の組織でも、従業員の個人ブラウジング経由で“クロス汚染(cross-contamination:持ち込み感染)”が起きたと書いています。つまり、情シスがどれだけ頑張っても、入口が広告だとすり抜けがち。
公式対応状況:誰が止めてくれるの?
単発の修正パッチはなく、現実的には「広告の削除+検知名での駆除+被害前提のアカウント再設定」がセットです。 (Microsoft)
まず“止血”としては、Microsoft Defenderが検知名「Trojan:JS/JSceal.A!MTB」として検出・削除対象にしている点は希望です(ただし検知は100%じゃないので油断は禁物)。 (Microsoft)
それと、TradingView側も「Facebook上での偽広告が増えていて、マルウェアに繋がりうる」と注意喚起しています。公式が言うの、重いです。 (TradingView)
ただ、攻撃者はドメインや広告素材を回転させるので、対応はどうしても“いたちごっこ”になります。don’t(しないで)「削除されたから終わり」と思い込まないほうがいい。 (TechRadar)
いま取るべき対処:被害を広げない順番
「PCを掃除する前に、アカウント側の被害拡大を止める」これが最優先です。
(1) 感染が疑わしいPCは、いったんネットワークから切断します。
(2) “別の安全な端末”から、取引所・メール・パスワード管理・SNSのパスワードを変更します(同じパス使い回しは即やめ)。
(3) 可能なら全サービスでMFA(multi-factor authentication:多要素認証)を有効化し、セッション(session:ログイン状態)の強制ログアウトやAPIキーの再発行もします。
(4) Windows側はDefenderのフルスキャン、可能ならオフラインスキャン(Offline scan:再起動して検査)も検討します。 (Microsoft)
(5) 最近入れた「無料Premium」系アプリ、怪しいMSI、見覚えのないNode.js同梱アプリはアンインストール。ここで焦って消し過ぎると調査がしにくいので、スクショやインストール履歴のメモもあると後で助かります。
(6) タスクスケジューラに見覚えのないタスクが増えてないか確認します(Catoは永続化でタスク周りの工夫に触れています)。 (Cato Networks)
(7) ブラウザ拡張機能を総点検し、身に覚えがないものは無効化→削除。ログイン済みサイトのクッキー(cookie:ログイン票)も消します。
(8) 取引所やウォレットに不正送金の形跡があるなら、取引所サポートへ即連絡。時間が勝負です。
(9) どうしても挙動が直らない、情報が抜かれ続けてる感があるなら、バックアップを取ったうえで初期化(再インストール)も視野に入れます。…つらいけど、ここが一番確実だったりします。
みんなの報告:Redditの“やられ方”が参考になる
実際の被害報告では「YouTubeで広告を踏んだ」「検知は出るのに不安が消えない」が目立ちます。 (Reddit)
Redditでは「YouTubeを見ていて広告経由で刺さった」系の相談が出ています。リンクを踏んだ瞬間というより、“いつものノリ”で入れてしまった、という温度感が怖い。 (Reddit)
別の投稿では、Malwarebytesで検知が出続けて途方に暮れている様子もあり、駆除より先にアカウント防御を優先すべき理由がよく伝わってきます。ちょっと誤字るけど、ほんとに「先に止血」なんです。 (Reddit)
あと、TradingViewを名乗る“無料1年”の話題は定期的に立つので、見かけた人はコメント欄に「そのURLどこ?」って投げてほしい。みんなで潰せます。 (Reddit)
コメント欄で教えて:あなたのケースはどれ?
同じJSCEALでも入口が違うので、報告が集まるほど対策が刺さります。
よければ、コメントで次を教えてください。あなたの“環境情報”が次の人の助けになります。
発生日時(いつ気づいた?)
きっかけ(広告、検索、動画、メール、SNS…どれ?)
入れたアプリ名と表示されたバージョン・ビルド番号(例:自称「TradingView Desktop v2.13.0.7353」みたいなやつ) (Reddit)
出た表示(HTTP 404、PDF破損っぽいエラー、など)
セキュリティ製品の検知名(Trojan:JS/JSceal.A!MTB など) (Microsoft)
まとめ:いちばん大事な結論
JSCEALの本質は「エラーに見せた選別」と「広告導線の強さ」なので、対処は“アカウント止血→端末駆除→再発防止”の順で。 (Cato Networks)
「HTTP 404」も「壊れたPDF」も、直すべきPCの不具合じゃなく、攻撃者の都合で見せられている可能性が高いです。だからこそ、見え方に惑わされず、被害の中心(ログイン情報とセッション)を先に守り切りましょう。コメント欄、遠慮なく使ってください。温度感ある報告、待ってます。
