無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

カテゴリ: Windows

<評価>ノートパソコン16GBへDDR4メモリCrucial増設レビュー

Crucial(クルーシャル)製メモリをネット通販で購入しWindowsノートパソコンのメモリ容量8GBから16GBへ増設の状況紹介、評価レビューです。

ノートパソコンのメモリ増設をやってみた時の状況レビューです。

まず、使用しているパソコンのメモリ増設をするなら、注意点として ノートパソコン or デスクトップパソコンの違いメモリの世代の違い という互換性 2 点を事前に確認しておきたいです。

メモリ基盤の種類の違い
SODIMM
SO-DIMM
S.O.DIMM
ノートパソコン向けのメモリ
液晶一体型パソコンのメモリ
DIMM デスクトップパソコン向けのメモリ

メモリ世代の違い
DDR5 SDRAM 第5世代メモリ (2020 年~)
DDR4 SDRAM 第4世代メモリ (2014 年~)
DDR3 SDRAM 第3世代メモリ (2007 年~)

パソコンのメモリ増設前の診断 Crucial® System Scanner

Windows パソコンに搭載されているメモリの状況はどんな感じ?

パソコンの型番で検索すると、たいていパソコン製造メーカーの公式サイトがヒットして、スペック表のメモリの項目から把握する流れもあるけど、無料で確認してくれる Crucial (クルーシャル) の簡易的な診断ツールを紹介します。

~ 無料のメモリ診断ツール ~
Crucial® System Scanner
https://www.crucial.jp/store/systemscanner

ダウンロード後にインストール作業はなく、Windows のデスクトップに保存した実行ファイル 「CrucialJPScan.exe」 を起動すると、10 秒ほどでブラウザが起動して診断結果のページが開きます。

  • パソコンに搭載しているメモリの診断

  • パソコンに搭載しているストレージの診断
    (HDD / SSD)

診断ツール 「Crucial® System Scanner」 を使い終わったら、実行ファイルをゴミ箱へポイでアンインストール完了です。





ノートパソコンのメモリ増設前の状況

手元のノートパソコンは、メモリを刺せるスロットが合計 2 つということが、診断ツールで視覚的に表示されています。

ノートパソコンのスロット1にSKハイニックス製メモリ8GB
【メモリ増設前】 SK hynix メモリ搭載

  • [スロット1]
    → もともとの韓国 SK hynix の DDR4 メモリ (容量 8GB) が刺さっている

  • [スロット2]
    → 空きスロット、オープン

新規メモリを購入する前に、ノートパソコン本体裏のメモリ増設カバーをプラスドライバー (ネジ 1 つ) を使って取り外して現物確認もしておきました。

Crucial DDR4 メモリ購入と増設と評価

ネット通販で購入したのは、Crucial (クルーシャル) の 「DDR4-2400 容量 8GB」 の型番 CT8G4SFS824A になります。

サムスンやSKハイニックスのメモリは、個人向けに販売する体制ではないようで、ネット通販で取り扱っているのが 中古品 のメモリしか確認できず、メモリの評判を考えてもオーソドックスな王道はこれ?

Crucial by Micron メモリ CT8G4SFS824A.M8FJ 8GB Product of Malaysia SODIMM DDR4-2400 1.2V CL17
メモリ増設するため購入した Crucial メモリ
製造国マレーシア (他にメキシコ、中国があるみたい)

新型コロナウイルス感染症に関連する半導体不足や物流の影響か不明だけ、この Crucial メモリの販売価格は 2021年2月 ~ 2022年5月 にかけて ¥1,000 ~ 2,000 ほど値上がりしていました。

Crucial DDR4 メモリ 8GB 販売価格の推移 2021~2022年
Crucial SODIMM PC4-19200 8GB メモリ値段の推移
(出典 価格.com

少し前まで 4,000 円台とか 5,000 円台の値札が付いていた製品――。

ポイント獲得の目的もありつつ値段が落ち着いたタイミングで、Yahoo!ショッピング内のストア Joshin (ジョーシン) から価格 3,200 円の Crucial メモリを購入したのでした。

検索結果で何かと上位表示される最大手 Amazon.co.jp 内のメモリ販売ページを見たけれど、何か怪しい印象を受けたので速攻パスしました。 <メモリの転売?

  • 商品の販売元が 「Amazon.co.jp」 ではない マーケットプレイス

  • 個人ストアが多数、おおよそパソコン周辺機器を卸しているように見えない
    └ トルコの雑貨屋? 日本だと住所が 戸建てアパート? 電話番号が携帯電話

  • メモリの販売価格が安くなく 1,000 円ぐらい高い


ノートパソコンのメモリ増設後の状況

購入した Crucial メモリは、空きだった [スロット2] に追加で取り付けてメモリ増設を実現し、メモリ容量 「8GB」+「8GB」=「16GB」 へパワーアップです。

メモリ増設でスロット2にクルーシャル製メモリ増設で合計16GB
【メモリ増設後】 スロット2に Crucial メモリ 8GB

Crucial® System Scanner」 の診断では、この新規購入した Crucial メモリのメーカー製造元が謎の英数字 「859B」 になっていますが 「Crucial by Micron」 で問題なさげ。

<追記...>
Crucial メモリの評価は? …メモリ増設してから 2 ヶ月近く経過してノートパソコンに何ら異常なし。

(参考) Crucial SODIMM DDR4 メモリ型番


Crucial SODIMM DDR4 メモリ

4GB 8GB 16GB
DDR4-2400
PC4-19200
CT4G4SFS824A
CT8G4SFS824A
CT16G4SFD824A
DDR4-2666
PC4-21300
CT4G4SFS8266
CT8G4SFRA266
(CT8G4SFS8266)
CT16G4SFRA266
DDR4-3200
PC4-25600

CT8G4SFRA32A
(CT8G4SFS832A)
CT16G4SFRA32A
(CT16G4SFD832A)

同じスペックなのに型番が違う 2 種 「CT8G4SFRA32A & CT8G4SFS832A」、「CT16G4SFRA32A & CT16G4SFD832A」 が存在し、その販売価格も異なっていますか。

その真相は、Crucial の中の人によると、メモリ増設する上で互換性に影響のない 旧製品 の違いだそうです。

CrucialメモリDDR4型番2つの違い
(出典 @CrucialMemory

【Crucial が型番の違いについてコメント】
[旧製品] は弊社がメモリランクに依存しないパーツと呼称しているもので、互換性の理由で [後継品] と同一であり、同じシステムにおいてフル動作で使用できます。[旧製品] をもはや製造していないため、弊社のウェブサイトでは見つけることができません。
(※訳注: 中の人が型番を取り違えている気がするので日本語訳は対処済み)

[Crucial メモリ 評判] [Crucial メモリー] [クルーシャル メモリ DDR4] [クルーシャル メモリー] [メモリ増設 注意点] [メモリ増設 効果] [メモリ増設 ノートパソコン] [メモリ増設 やり方] [メモリ増設 確認方法] …

このエントリーをはてなブックマークに追加

<解決>Microsoft Edgeオフラインインストーラのダウンロードと導入方法

Windows 10/11向け無料ブラウザ「Microsoft Edge」のオフラインインストーラーをダウンロードしてインストールする導入方法の紹介

Edge オフラインインストーラーのダウンロード方法

無料ブラウザ Microsoft Edge を新規インストールする、あるいは最新版へ更新アップデートする場合、インターネットに接続されていないオフライン環境でも Microsoft Edge を完全インストールできる オフラインインストーラー が用意されています。

Microsoft Edge ブラウザ オフラインインストーラー ダウンロード
Edge オフラインインストーラーのダウンロードボタン

【Microsoft Edge オフラインインストーラー】

インストーラーダウンロード

インストーラーのファイル名 (64 ビット環境)
MicrosoftEdgeEnterpriseX64.msi

インストーラーのファイル名 (32 ビット環境)
MicrosoftEdgeEnterpriseX86.msi

インストーラーのファイルサイズ
約 150 MB
【Microsoft Edge 通常のインストーラー】 (参考情報)

インストーラーのダウンロード
https://www.microsoft.com/ja-jp/edge/download

インストーラーのファイル名
MicrosoftEdgeSetup.exe

インストーラーのファイルサイズ
約 1.5 MB

・ 企業向けの 「Microsoft Edge for Business」 がオフラインインストーラーとして動作し、誰でも無料で利用できる

・ オフラインインストーラーは、ファイルの拡張子が 「.exe」 形式ではなく 「.msi」 形式になっている

・ オフラインインストーラーには Edge ブラウザの動作に必要とするファイルのすべてが含まれているので、通常のインストーラーと比較してファイルサイズが数百メガバイトと大きい

Edge オフラインインストーラーのインストール方法

Windows のディスクトップなどにダウンロードしたオフラインインストーラー (拡張子 .msi) をダブルクリックして起動しましょう。

インストール完了後、ダウンロードしてきたオフラインインストーラー (拡張子 .msi) はもう不要なので削除して OK です。

このエントリーをはてなブックマークに追加

初回投稿 2021年11月13日

<危険>YouTube経由チート・クラック原因72%マルウェア感染 RedLine Stealer

Windowsウイルス「RedLine Stealer」とは。ゲームのチートツールや有償製品クラックのダウンロード原因7割。アカウント乗っ取りハック被害、YouTube経由の感染経路で危険動画を紹介。

「レッドライン」 のウイルス感染経路?


チートツールやクラックが原因でウイルス感染7割

マルウェア (コンピュータウイルス) の 「RedLine Stealer」 に感染した日本国内の Windows パソコン 928 台から外部に流出したデータを日本のセキュリティ企業が分析しました。

その結果、感染原因の 約7割 (72%) が 不正ソフトのインストール だったと判明したそうです。

パソコンに感染マルウェア 7割余が不正ソフトからか 自ら不正ソフトを使いマルウェアに感染する実態 オンラインゲームのチート・クラックツール41% 有償ソフトのクラックツール海賊版31%
最新のコンピュータウイルスの感染経路は? (NHKニュース)

マルウエア感染の 7 割余 不正ソフトのインストールが原因か - NHKニュース 2021年11月
https://www3.nhk.or.jp/news/html/20211108/k10013338171000.html

パソコンに感染してクレジットカード情報や、通販サイトのパスワードなどを盗み取るマルウエアについて、感染経路の 7 割余りが、不正なソフトウエアのインストールが原因とみられることが情報セキュリティー会社の調査で分かりました。

職場や自宅のパソコンに感染してクレジットカード情報や、通販や SNS のパスワードなどを盗み取るマルウエアは、ここ数年被害が拡大しています。

どのような経路で感染するのか、去年から猛威を振るっている 「レッドライン」 と呼ばれる情報窃取型のマルウエアについて、情報セキュリティ-会社が日本の感染例 920 件余りの情報を解析したところ、74% が不正なソフトをみずからインストールしたことが原因とみられることが分かりました。

具体的には、▽オンラインゲームなどにずるして勝つための不正ソフトが 41%、▽有料のソフトを無料で使えるようにする不正ソフトが 31% でした。
凸版印刷のセキュリティ企業 Armoris による調査

調査結果のモニター画面
41% オンラインゲームのチート・クラックツール
31% 有償ソフトウェアのクラック (海賊版)
24% 感染経路不明
(円グラフの 41% を指して) 半数近くが YouTube 経由でウイルス感染

セキュリティアナリストさんのコメント
「検索サイトで上位に出てきたからといって、それが必ずしも安全というわけではありませんので…」


「チートツール」 「クラック」 ダウンロードしたら実際は…

NHKニュースの記事では、不正ソフトについて 「オンラインゲームなどにずるして勝つための」 と説明的な表現をしていて苦笑いだけど、詐欺師が次のように 偽装 して危険なマルウェア (コンピュータウイルス) が配布しています。

不正ソフト偽装でウイルス配布
チートツールやクラックを装う
対戦型オンラインゲームで自分が強くなり有利になる
ゲームのパラメータやコンテンツを改造する
cheat, crack, hack, mod menu, skin changer,
unlock, swapper, bot, aimbot, wallhack, spoofer …
海賊版ソフトウェアを装う
購入の必要がある有償ソフトウェア製品を無料ダウンロード
free download, license key, serial key, keygen,
full version, adobe, microsoft …

当然ながら、この手の怪しいブツは、非公式の代物で出所も何もあったもんじゃな~し!

ウイルス感染に至る真相は、ユーザーが自らの意思でダウンロードしたプログラムが 危険な罠 だった悲劇であり、Windows パソコン上で未知のファイルをダブルクリックして開いた挙げ句の 自爆感染 でしょう。


それこそ、自業自得の一言で切り捨てられそうなお話です。

しかし、日本でも感染例が複数あり、結果として深刻な乗っ取り被害を招く 「RedLine Stealer」 の対応機能、まさかの ウイルス感染経路 YouTube について詳しく紹介します。

危険! 暗躍する RedLine Stealer ウイルスとは?

「RedLine Stealer」 (読み方 レッドライン・スティーラー) は、海外の闇サイトやフォーラムなどで販売されているサイバー犯罪者向けのソフトウェア製品です。

情報窃取型マルウェア RedLine Stealer

セキュリティ会社が付けた名前ではなく、ロシア語 を母語とする開発者グループ自らがそう名乗っています。

2020年2月に海外のフォーラムに投稿されたRedLine Stealerを宣伝するロシア語の投稿
「RedLine Stealer」 を宣伝する最初期の投稿 (2020年2月)

stealer とは?
「steal」 (盗む) と接尾辞 「-er」 (~する人、物) に由来し、「infostealer」 (インフォスティーラー) とも呼ばれるセキュリティの脅威。ソフトウェアに保存されているユーザー名とパスワード、クレジットカード情報、その他の個人データといった機密情報を被害者の端末から密かに収集するよう設計されたマルウェアの一種。

そして、このソフトウェア製品は MaaS という仕組みで提供されているそうです。

これはサービス提供者に料金を支払うことで特別な知識がなくても高機能なマルウェア (コンピュータウイルス) を好き勝手に使う権利を手にできる仕組みになります。

Steam、Discord、FileZillaアカウントハック被害 RedLine マルウェアのコミュニティ
Telegram 上にある 「RedLine Stealer」 公式チャンネル

MaaS (Malware as a Service) とは?
SaaS がモチーフで、「サービスとしてのマルウェア」 という意味。サイバー攻撃を実行するためのソフトウェアやハードウェアをサービスとして貸し出すシステム体系のこと。
MaaS の所有者は、マルウェアを使用する権利やマルウェアを配布するボットネットにアクセスする権利を有償で提供し、サービスの利用者に対してサイバー攻撃を制御するための個人アカウントや技術サポートが提供される。

こうなると、地球上の Windows ユーザーを片っ端から狙って、攻撃者たちが 「RedLine Stealer」 ウイルスを無差別に投入する展開になります。

Threat Profile: RedLine Infostealer United States/アメリカ Italy/イタリア Germany/ドイツ India/インド Peru/ペルー Belgium/ベルギー United Kingdom/イギリス Spain/スペイン Hong Kong/香港 Ireland/アイルランド Canada/カナダ Thailand/タイ United Arab Emirates/アラブ首長国連邦 Finland/フィンランド Indonesia/インドネシア Japan/日本 Mauritius/モーリシャス
「RedLine Stealer」 世界の検出状況 (2021年11月)
出典 McAfee MVISION Insights


ネットサーフィン中に RedLine Stealer 強制感染も

「RedLine Stealer」 のウイルス感染経路は 1 つと限らず、様々な形で流布されます。

米国のセキュリティ企業 Proofpoint (プルーフポイント) によると、2020年3月に初めて観測された 「RedLine Stealer」 ウイルスの感染手口は、時節な出来事だった新型コロナウイルス感染症 COVID-19 がテーマのEメールの配信でした。

添付ファイルではなく、Eメール本文中にファイルのダウンロードリンクを記載してダウンロードさせる形だったようです。

不正なEメール経由で感染!

New Redline Password Stealer Malware - Proofpoint
https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign

2020年3月初め、Proofpoint の調査員は、マルウェアの作者が RedLine Stealer と呼んでいて、これまでに知られていないマルウェアの配信を試みるEメールのキャンペーンを観測しました。この名称は、フォーラムでの広告、コードのコメント、コマンド&コントロール (C&C) の画面で確認できます。

パスワード搾取ウイルス RedLine Stealer は、ロシアのアンダーグラウンド フォーラムで販売されている新しいマルウェアです。オプションとして 150 ドルの Lite 版、200 ドルの Pro 版、100 ドル/月のサブスクリプションが用意されています。

このコンピュータウイルスは、ログイン、オート コンプリート (フォームの自動入力)、パスワード、クレジットカードなどの情報をブラウザから盗みます。また、ユーザー名、地理的位置、ハードウェア構成、インストールされているセキュリティソフトなど、ユーザーとそのシステムに関連する情報を収集します。RedLine Stealer の最近のアップデートでは、暗号資産のコールド・ウォレットを盗む機能が追加されました。

また、欧州ルーマニアのセキュリティ企業 BitDefender (ビットディフェンダー) によると、ネットサーフィン中の Windows ユーザーを狙って 「RedLine Stealer」 ウイルスの実行ファイルを強制的に起動させる攻撃が2022年以降に確認されています。

ネットサーフィン中に強制感染!

RedLine Stealer Resurfaces in Fresh RIG Exploit Kit Campaign - BitDefender
https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign/

今年 2022 年の初め、私たちは CVE-2021-26411 のエクスプロイトを使って悪意のあるペイロードを配信する RIG Exploit Kit のキャンペーンに気づきました。このペイロードの 1 つが、2022 年 1 月 3 日 に Bitdefender Labs が捕捉したトロイの木馬 RedLine Stealer でした。

具体的に、インターネットの閲覧に欠かせないブラウザ関連の脆弱性 (ぜいじゃくせい) を悪用する手口です。

  • 強制的な感染のキッカケ
    ユーザーが目視で危険性に気づくことが困難な 「マルバタイジング」 攻撃
    → ネット上で普通に目にする 広告の配信サーバーから攻撃処理 を流す手口

  • 悪用された主な脆弱性
    「Internet Explorer」 「Microsoft Edge 従来版」 の脆弱性
    CVE-2021-26411 CVE-2020-0674 CVE-2019-0752 CVE-2018-8174 CVE-2016-0189
    「Adobe Flash Player」 の脆弱性
    CVE-2015-0313 CVE-2018-15982
    → いずれもサポート終了済み

時代錯誤なウイルス対策 「怪しいサイトやエッチなサイトにアクセスしない」 は通用せず、ネットサーフィン中の強制感染リスクが高いのは、すでに危険レベルが振り切れている Windows XPWindows VistaWindows 7 です。

Windows 10/11 有効なセキュリティ対策
Windows
今月分の Windows Update が適用できていると 影響は極めて低い
マイクロソフトは2021年3月にセキュリティ更新プログラムを配信済み
ブラウザ
導入している Microsoft Edge、Chrome、Firefox が最新版か確認する

RedLine Stealer ウイルスに感染したら? 対応する機能

この記事を書くため 「RedLine Stealer」 ウイルスについて調べていると、海外のフォーラムで 「RedLine Stealer」 の感染が原因で流出した大規模なデータの一部を公開し、金額を付けて売りさばく投稿を複数見かけてヒェッとなりました。

海外フォーラムでは RedLine Stealer ウイルスを使って盗んだ大量の流出データを販売する投稿
190 GB 分の流出データを 450 ドルで販売する例 (2021年11月)

いったい 「RedLine Stealer」 ウイルスに感染したらどうなるのか、対応している主な機能を紹介します。

RedLine Stealer 主要な機能 2 つ
PC から多種多様な情報窃取を行い外部に送信
別のマルウェアを PC に感染させる仕組み


Windows 用 Chromium 系ブラウザに保存させている認証情報を盗む

Google ChromeMicrosoft Edge

  • ウェブサイトの ユーザー名×パスワード
    → 保存しないようブラウザの設定でオフに変更できる

  • フォームの自動入力 のデータ
    (住所・氏名・電話番号といった個人情報、クレジットカード情報)
    → 保存しないようブラウザの設定でオフに変更できる

  • Cookie … ウェブサービスの 2 段階認証を突破して不正アクセス実現の恐れ

RedLine Stealer が窃取する Windows ブラウザ例】
Chromium
Google Chrome
Opera
Opera GX
CoolNovo
Iridium Browser
CentBrowser
Vivaldi
Epic Privacy Browser
Sleipnir 5
Coowon Browser
Comodo Dragon
Torch Web Browser
Yandex Browser
Maxthon 3 Browser
Cốc Cốc
Brave
Microsoft Edge
【関連するブラウザのヘルプページ】
・ Google Chrome
https://support.google.com/chrome/answer/95606
https://support.google.com/chrome/answer/142893
https://support.google.com/chrome/answer/95647

・ Microsoft Edge
https://support.microsoft.com/microsoft-edge/b4beecb0-f2a8-1ca0-f26f-9ec247a3f336
https://support.microsoft.com/microsoft-edge/81da697c-9910-d9b8-d50a-1712d96f3db8
https://support.microsoft.com/microsoft-edge/63947406-40ac-c3b8-57b9-2a946a29ae09

Windows 用 Gecko 系ブラウザに保存させている認証情報を盗む

Mozilla Firefox

  • Cookie … ウェブサービスの 2 段階認証を突破して不正アクセス実現の恐れ

RedLine Stealer が窃取するブラウザ例】
Mozilla Firefox
Waterfox
K-Meleon
Mozilla Thunderbird
Comodo IceDragon
Cyberfox
Pale Moon
【関連するブラウザのヘルプページ】
・ Mozilla Firefox
https://mzl.la/3vVeO8Y

ゲーム クライアント 1 種のアカウント情報を盗む 〔アカウント乗っ取り〕

Valve Steam

  • Steam (Valve Corporation) Firefly
    └ Steam Guard SSFN ファイル … 2 段階認証を突破して Steam アカウントに不正アクセス実現の恐れ

コミュニケーション ツール 2 種のアカウント情報を盗む 〔アカウント乗っ取り、フレンド宛てにスパムメッセージ送信〕

TelegramDiscord

  • Telegram

  • Discord
    └ 認証トークン .ldb ファイル … 2 段階認証を突破して Discord アカウントに不正アクセス実現の恐れ

FTP ソフト 1 種に保存されている Web サーバのアカウント情報を盗む

FileZilla


VPN ソフト 3 種に保存されている VPN サーバの認証情報を盗む 〔組織の VPN への不正アクセスの恐れ〕

NordVPNOpenVPNProton VPN

  • NordVPN Firefly

  • OpenVPN

  • Proton VPN

暗号資産 (仮想通貨) を保管するウォレットを盗む
└ wallet.dat ファイルなど

【RedLine Stealer が窃取するデスクトップ ウォレット例】
Armory
Atomic Wallet
Coinomi
Electrum Bitcoin Wallet
Ethereum
Exodus Wallet
Guarda
Jaxx

Chrome ブラウザ拡張機能に保存されているウォレットを盗む
暗号資産 (仮想通貨) のウォレットアプリ MetaMask ほか約 30 種

RedLine Stealer が窃取する Chrome 拡張機能ウォレット】
Yoroi
TronLink
Nifty Wallet
MetaMask
Math Wallet
Coinbase Wallet
Binance Wallet
BraveWallet
Guarda
EQUAL Wallet
Jaxxx Liberty
BitApp Wallet
iWallet
Wombat
Oxygen Atomic Crypto Wallet
MEW CX
GuildWallet
Saturn Wallet
Ronin Wallet
Terra Station Wallet
Harmony Chrome Extension Wallet
Coin98 Wallet
EVER Wallet
KardiaChain Wallet
Phantom
Pali Wallet
BOLT X
Liquality Wallet
XDEFI Wallet
Nami
Maiar DeFi Wallet
Temple Tezos Wallet
---
Authenticator 2FA

└ テキストファイル (拡張子 .txt)、Word 文書ファイル (拡張子 .doc .docx)
└ ファイル名に 「key」 「wallet」 「seed」 といった文字列が含まれるファイル

  • 探索対象 1 「デスクトップ フォルダー」
    C:\Users\[ユーザー名]\Desktop\ ~

  • 探索対象 2 「ドキュメント フォルダー」
    C:\Users\[ユーザー名]\Documents\ ~

「RedLine Stealer」 感染の直後にデスクトップの様子を写したスクリーンショット画像 1 枚を保存する

感染した Windows パソコンの一般的なシステム情報を収集する

【統計的に収集されるシステム情報】
IP アドレス 〔https://api.ip.sb/ip〕
IP アドレスから推測された地理的位置 (国名・地域名)
Windows のユーザー名
パソコンのデバイス ID
Windows の表示言語
タイムゾーン
ディスプレイの解像度
Windows OS のエディション
CPU プロセッサ名
GPU プロセッサ名
実装 RAM の容量
動作するウイルス対策ソフトウェアの種類
インストールされているブラウザ一覧
インストールされているソフトウェア一覧

外部ネットワークに接続し、任意の実行ファイルをダウンロードしてきて起動する


「RedLine Stealer」 感染で乗っ取り被害

「RedLine Stealer」 ウイルスの感染をキッカケに 2 段階認証を突破されて様々なウェブサービスのアカウントで乗っ取り被害の発生保有する仮想通貨の盗難、最悪 Windows パソコンが マルウェアの巣窟 へと一直線です。

  • Twitter、Instagram アカウントの乗っ取りで仮想通貨の詐欺スパムが投稿された

  • YouTube チャンネルが乗っ取られて英語の動画を勝手に投稿された

  • 保有する仮想通貨が見知らぬアドレスに勝手に送金されて盗まれた

  • Steam アカウントの乗っ取りでゲームをプレイされた勝手に購入された

  • Discord アカウントの乗っ取りで運営するサーバーの管理権限を奪取された
    詐欺のスパムメッセージがフレンド全員に宛てて勝手に送信された

  • 組織の VPN サーバーに侵入されて情報漏洩やランサムウェア攻撃のキッカケになった

…枚挙にいとまがありません。

YouTube 経路で RedLine Stealer ウイルス感染例

ウイルス感染経路が 「ウイルスメールで感染」 や 「ネットサーフィン中に強制感染」 ではなく、「RedLine Stealer」 のご厄介になる超身近なウイルス感染経路を画像付きで見てみます。

YouTube 動画でウイルス感染!?

無警戒な日本国内のユーザーを吸い寄せる ”橋渡し” になっているのが、動画配信プラットフォーム YouTube です。

  • 最新の Windows 10/11 も含む全 Windows ユーザーが影響を受ける

  • 「RedLine Stealer」 をダウンロードさせて自爆感染させる最大規模の経路か
    → 「YouTube の動画だから危険性は低くて安全」 という誤解

  • 自作コンテンツを公開できる複数のオンラインサービスが悪用されている
    → 不正と判断されうる URL (ドメイン) が登場しないためアクセス阻止が困難

【1】

普段から利用する検索エンジン (ドメイン名 「google.co.jp」 「search.yahoo.co.jp」 など) を使い、人気のゲームの 「crack」 (クラック) を探すキーワードでググりました。

まずスルーすることのない検索結果の 1 ページ目にもっともらしい YouTube の動画が多数ヒットします。

箱庭ゲーム「マイクラ」のクラックやチートでGoogle検索するとRedLineウイルスのダウンロードへ導くYouTube動画が表示される
Google 検索の上位に危険な動画が普通に並ぶ

【YouTube 動画が優遇されて裏目に】
検索結果の表示で自社サービス YouTube の動画を優遇する仕組みが悪用されている。
一方、検索語句は 「チート」 や 「クラック」 に限らない。探し求めるユーザーとダウンロードの需要さえあれば何でもよく、fps を向上してゲームを快適にプレイできるようにするプログラムを餌にゲーマーを陥れる。暗号資産を運用するユーザーを狙うなら、稼げる 「マイニング」 「トレーディング」 用のソフトウェアで興味をひきつける。


【2】

アクセスすると、正真正銘本物の YouTube の動画視聴ページ (ドメイン名 「youtube.com」) です。

投稿されている動画は、「性的なコンテンツ」 や 「暴力的なコンテンツ」 は含まれておらず、Windows のデスクトップやゲーム画面の様子を映して、「チートツール」 や 「クラック」 を使い方を英語で指南する内容が多いです。

動画を単に視聴する分には何も問題は怒らないものの、危険なのが映像の下にある 説明欄 に記載されたファイルの 〔ダウンロード用〕 と称する URL リンクです。

YouTube映像の説明欄にクラックやMOD名目でRedLineウイルスのダウンロードURLが提示される
水増し操作で再生回数 5,000 超えの人気動画に仕立てられている

【乗っ取られた YouTube チャンネルに危険な動画】
この攻撃を仕掛ける詐欺師は、乗っ取られた YouTube チャンネル に 「RedLine Stealer」 の感染を意図する危険な動画を投稿している。被害者の Windows パソコンから盗まれたブラウザの Cookie を悪用して 2 段階認証を突破して Google アカウントに不正アクセス していると考えられる。
危険な動画の再生回数が数百~数千回に大きく水増しされていたり、コメント欄が動画の内容を称賛するメッセージで溢れ返っていたり、詐欺師の計略で信頼できる ”人気動画” に仕立て上げられていることも多い。


【3】

URL リンクをポチッとクリックすると、ファイルの投稿や共有が自由にできる海外の正当なオンライン・ストレージ (ドメイン名 「mediafire.com」 「mega.nz」 「drive.google.com」 「github.com」 「cdn.discordapp.com」 「dropbox.com」 など) に導かれます。

こうして、ネットをさまようこともなく、さほど苦労することなくダウンロードできた 「チートツール」 や 「クラック」 の正体が 「RedLine Stealer」 ウイルスでした。

パスワードで暗号化された圧縮ファイル.zip内にマイクラのクラックツール・パッチ装うRedLineマルウェア実行ファイル.exe
圧縮ファイル内の実行ファイル 2 つが 「RedLine Stealer」

パスワードで暗号化された圧縮ファイル.rar内にRedLineマルウェア実行ファイル.exe
暗号化パスワード付きの .rar 内にポツンとマルウェア

YouTube経由でダウンロードしたRedLine Stealerマルウェア
実行ファイル以外のファイルやフォルダーはぜんぶダミー

パスワード付きrar圧縮アーカイブ内にマルウェアRedLine Stealer
Discord 有料プランをタダで何とかしたいユーザー狙い撃ち

ダウンロードした配布ファイルの特徴
パスワード付き 圧縮ファイル (拡張子 .zip .rar .7z
アーカイブ内の実行ファイル (拡張子 .exe) が危険
動作環境 Windows XP/Vista/7/8/10/11
※ mac.OS、Android スマホ、iOS (iPhone / iPad) は影響なし
圧縮ファイル内に無害なファイルやフォルダーを含ませてある場合あり
→ アプリの配布パッケージっぽく雰囲気までも偽装してユーザーをだます
実行ファイルのサイズが異常に大きい 「数百メガバイト」
→ ウイルス対策ソフトが検出不全に陥りやすい
→ セキュリティ会社や VirusTotal に巨大なファイルの送信が困難
→ ユーザー数が多いであろう Microsoft Defender クラウド保護 を突破


パスワード付き圧縮ファイルの危険トラップ

ダウンロードして入手した圧縮ファイルの多くが パスワード付き なのも感染成功率を引き上げるポイントになっています。

圧縮ファイルの中身が認識できない

【ウイルス感染攻撃を成功裏に導く急所】
ユーザーがダウンロードした直後にセキュリティソフトでファイルをスキャンする
 ↓
ウイルス対策ソフトはパスワード付きの圧縮ファイルを 「無害」 と判定する
(理由: ファイル内部が保護されていてウイルススキャン不可能)
 ↓
判定結果を見たユーザーは問題のない安全なファイルを入手したと確信する恐れ

同じ理由で、圧縮ファイル内に脅威が含まれている危険な状況をオンライン・ストレージの運営元は事前に把握できなくなっていて、利用規約で明確に禁止されているコンピュータウイルス (マルウェア) が様々なオンライン・ストレージにアップロードされ放題になっています。


最後は RedLine Stealer の実行ファイルを開いて感染

いちおう、圧縮ファイルを解凍 (展開) した後のタイミングで、セキュリティソフトが活躍できるチャンスが訪れます。

ただ、用意周到な 詐欺師に出し抜かれてウイルス対策ソフトの対応が後手に回っている現実 に出会うと、「RedLine Stealer」 ウイルスの実行ファイル (拡張子 .exe) を躊躇なくダブルクリックで踏み抜いて The End となります。

【Reddit 掲示板で乗っ取り被害者の悲鳴】

自分は大バカです。オンラインで何かをダウンロードしたら、トロイの木馬 RedLine Stealer に感染した。Windows の ウイルス対策ソフト でブロックしていたけど、なかなか消えずに間違って許可してしまった。
自分の Instagram にログインされて 仮想通貨詐欺 のリンクが投稿された。YouTube アカウント も削除された。どうしたらいいのか分からない。セーフモードと通常のモードで Malwarebytes を実行したけど何も見つからなかった。
https://www.reddit.com/r/techsupport/comments/uvgyqu/

ここに投稿するのは初めてだけど、昨日 Battle.net と Activision のアカウントが乗っ取られて、今日復旧したところです。Malwarebytes が 「bluehack.exe」 を 「Spyware.Redline Stealer」 として発見できた。それを確実に削除したけど、Avast の無料版で一晩中スキャンを実行していて、まだ何も見つかっていない。他にどんな安全対策をすればいいか教えてくれない? 他にどんな情報を盗まれたか分からないし、もう流出させたくない。
https://www.reddit.com/r/antivirus/comments/pd8rkh/

自分はバカで、感染した .exe をクリックしてしまった (そう、前に VirusTotal で確認したけど安全そうだった)。Windows Defender が開いて、一瞬だけ 「RedLine Stealer」 と表示された後に隔離に移動された。.rar と展開されたファイル を削除して、隔離されたファイルを削除した。
その直後、自分の Discord アカウントが乗っ取られて、自分の名義でグループ/フレンドの全員にフィッシング詐欺のリンクが送信された。その後、感染した PC をインターネットから完全に遮断して、パスワードをすべて変更して、送信されたリンクをすべて削除した。
https://www.reddit.com/r/techsupport/comments/t4xp0s/

仮にブラウザやセキュリティソフトが警告や確認を促しても、探し物の 「チートツール」 や 「クラック」 を発見した自分に酔って気分が高揚していたり、セキュリティ意識が麻痺したユーザーさんは立ち止ることなく突っ走る展開になりそうです。


RedLine Stealer ウイルスの危険ポイント


RedLine Stealer ウイルスなどマルウェア感染、乗っ取られたYouTube動画のサムネイル画像
乗っ取られた YouTube 動画のサムネイル画像例

強力な道具を持つ詐欺師たちが進行形で活動している
数日~数時間前に準備された新鮮な 「RedLine Stealer」 ウイルスを掴まされてもおかしくなく、Windows 標準のセキュリティソフト Microsoft Defender に脅威を検出させない体制で襲いかかる

脅威を警告する複数のチャンスが明確に潰されている
YouTube 経由でユーザーを巧妙に誘導させて、正当なオンライン・ストレージからパスワード付きの圧縮ファイルをダウンロードさせることで、誰からも妨害されずに 「RedLine Stealer」 ウイルスをユーザーの目の前まで確実に持っていく

実行ファイル (.exe) やスクリーンセーバー (.scr) を開かせる
人間の心理的なスキを突く戦法は俄然有効で、手にしたファイルを 「文書」 「画像」 「動画」 「プログラム」 などと思い込ませることに成功すると、疑うことを知らないユーザーは不正なファイルを躊躇なく開く


[YouTube 視聴 ウイルス感染] [YouTube 危険 動画] [ユーチューブ ウイルスが検出されました] [YouTube 見ただけでウイルス] [YouTube ウイルスが見つかりました] [YouTube セキュリティ警告] [RedLine Stealer とは] [RedLine Stealer 感染したら] [チートツール ダウンロード] [ウイルス感染経路 最新] [トロイの木馬 RedLine] [Redline Stealer Activity 2] [Trojan Redline Stealer] …

関連するブログ記事

このエントリーをはてなブックマークに追加

↑このページのトップヘ