初回投稿 2021年11月13日
マルウェア感染チートツール・クラックが原因72% YouTubeでRedLine Stealer配布の脅威

「レッドライン」 のウイルス感染経路?
チートツールやクラックが原因でウイルス感染7割
日本のセキュリティ企業が 「RedLine Stealer」 として知られるマルウェア (コンピュータウイルス) に感染し、外部に流出した日本国内の Windows パソコン 928 台分のデータを分析しました。 

その結果、マルウェア 「RedLine Stealer」 に感染した原因の 72% (約7割) がユーザー自ら 不正ソフトをインストール したことがキッカケだったそうです。
マルウエア感染の 7 割余 不正ソフトのインストールが原因か - NHKニュース 2021年11月https://www3.nhk.or.jp/news/html/20211108/k10013338171000.html
パソコンに感染してクレジットカード情報や、通販サイトのパスワードなどを盗み取るマルウエアについて、感染経路の 7 割余りが、不正なソフトウエアのインストールが原因とみられることが情報セキュリティー会社の調査で分かりました。職場や自宅のパソコンに感染してクレジットカード情報や、通販や SNS のパスワードなどを盗み取るマルウエアは、ここ数年被害が拡大しています。どのような経路で感染するのか、去年から猛威を振るっている 「レッドライン」 と呼ばれる情報窃取型のマルウエアについて、情報セキュリティ-会社が日本の感染例 920 件余りの情報を解析したところ、74% が不正なソフトをみずからインストールしたことが原因とみられることが分かりました。具体的には、▽オンラインゲームなどにずるして勝つための不正ソフトが 41%、▽有料のソフトを無料で使えるようにする不正ソフトが 31% でした。
Armoris (アルモリス) によると、具体的な調査結果はこんな感じになりますか。 

【凸版印刷のセキュリティ企業 Armoris による調査】感染原因 (調査結果のモニター画面)
41% オンラインゲームのチート・クラックツール
31% 有償ソフトウェアのクラック (海賊版)
24% 感染経路不明
(円グラフの 41% を指して) 半数近くが YouTube 経由でウイルス感染セキュリティアナリストさんのコメント
「検索サイトで上位に出てきたからといって、それが必ずしも安全というわけではありませんので…」
■ 「チートツール」 「クラック」 ダウンロードしたら実際は…
まともではないと明確な不正ソフト 「41% オンラインゲームのチート・クラックツール」 + 「31% 有償ソフトウェアのクラック (海賊版)」 をダウンロードしてインストールする行為、これが約7割の感染原因になっています。 

NHKニュースの記事では、不正ソフトを 「オンラインゲームなどにずるして勝つための」 と説明していて苦笑いですが、詐欺師が次のように 偽装 してマルウェア (コンピュータウイルス) が配布していることが分かっています。
不正ソフト偽装でウイルス配布 |
---|
![]() 対戦型オンラインゲームで自分が強くなり有利になる ゲームのパラメータやコンテンツを改造する cheat, crack, hack, mod menu, skin changer, unlock, swapper, bot, aimbot, wallhack, spoofer … |
![]() 購入の必要がある有償ソフトウェア製品を無料ダウンロード free download, license key, serial key, keygen, full version, adobe, microsoft … |
当然ながら、この手の怪しいブツは、非公式のブツで出所も何もあったもんじゃなし! 

ウイルス感染に至る真相は、ユーザーが自らの意思でダウンロードしたファイルが 危険な罠 だった悲劇であり、Windows パソコン上で未知のファイルをダブルクリックして開いた挙げ句の 自爆感染 でしょう。
- 危険な 実行ファイル (拡張子 .exe) を開いた!
- 危険な スクリーンセーバー (拡張子 .scr) を開いた!
それこそ、自業自得の一言で切り捨てられそうなお話です。
しかし、日本でも感染例が複数あり、結果として深刻な乗っ取り被害を招く 「RedLine Stealer」 の対応機能、まさかの ウイルス感染経路 YouTube について詳しく紹介します。
危険! 情報窃取型マルウェア 「RedLine Stealer」 ウイルスとは?
「RedLine Stealer」 (読み方 レッドライン・スティーラー) は、海外の闇サイトやフォーラムなどで販売されているサイバー犯罪者向けのソフトウェア製品です。 

情報窃取型マルウェア RedLine Stealer
セキュリティ会社が付けた呼称ではなく、ロシア語 を母語とする開発者グループ自らがそう名乗っています。
【stealer とは?】「steal」 (盗む) と接尾辞 「-er」 (~する人、物) に由来し、「infostealer」 (インフォスティーラー) とも呼ばれるセキュリティの脅威。ソフトウェアに保存されているユーザー名とパスワード、クレジットカード情報、その他の個人データといった機密情報を被害者の端末から密かに収集するよう設計されたマルウェアの一種。
そして、このソフトウェア製品は MaaS という仕組みで提供されているそうです。
これはサービス提供者に料金を支払うことで特別な知識がなくても高機能なマルウェア (コンピュータウイルス) を好き勝手に使う権利を手にできる仕組みになります。

Telegram 上にある 「RedLine Stealer」 公式チャンネル
【MaaS (Malware as a Service) とは?】
SaaS がモチーフで、「サービスとしてのマルウェア」 という意味。サイバー攻撃を実行するためのソフトウェアやハードウェアをサービスとして貸し出すシステム体系のこと。
MaaS の所有者は、マルウェアを使用する権利やマルウェアを配布するボットネットにアクセスする権利を有償で提供し、サービスの利用者に対してサイバー攻撃を制御するための個人アカウントや技術サポートが提供される。
こうなると、地球上の Windows ユーザーを片っ端から狙って、攻撃者たちが 「RedLine Stealer」 ウイルスを無差別に投入する展開になります。
「RedLine Stealer」 世界の検出状況 (2021年11月)
出典 McAfee MVISION Insights
出典 McAfee MVISION Insights
■ ネットサーフィン中に RedLine Stealer 強制感染も
「RedLine Stealer」 のウイルス感染経路は 1 つと限らず、様々な形で流布されます。
米国のセキュリティ企業 Proofpoint (プルーフポイント) によると、2020年3月に初めて観測された 「RedLine Stealer」 ウイルスの感染手口は、時節な出来事だった新型コロナウイルス感染症 COVID-19 がテーマのEメールの配信でした。 

添付ファイルではなく、Eメール本文中にファイルのダウンロードリンクを記載してダウンロードさせる形だったようです。
不正なEメール経由で感染!
New Redline Password Stealer Malware - Proofpointhttps://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign
2020年3月初め、Proofpoint の調査員は、マルウェアの作者が RedLine Stealer と呼んでいて、これまでに知られていないマルウェアの配信を試みるEメールのキャンペーンを観測しました。この名称は、フォーラムでの広告、コードのコメント、コマンド&コントロール (C&C) の画面で確認できます。
パスワード搾取ウイルス RedLine Stealer は、ロシアのアンダーグラウンド フォーラムで販売されている新しいマルウェアです。オプションとして 150 ドルの Lite 版、200 ドルの Pro 版、100 ドル/月のサブスクリプションが用意されています。
このコンピュータウイルスは、ログイン、オート コンプリート (フォームの自動入力)、パスワード、クレジットカードなどの情報をブラウザから盗みます。また、ユーザー名、地理的位置、ハードウェア構成、インストールされているセキュリティソフトなど、ユーザーとそのシステムに関連する情報を収集します。RedLine Stealer の最近のアップデートでは、暗号資産のコールド・ウォレットを盗む機能が追加されました。
また、欧州ルーマニアのセキュリティ企業 BitDefender (ビットディフェンダー) によると、ネットサーフィン中の Windows ユーザーを狙って 「RedLine Stealer」 ウイルスの実行ファイルを強制的に起動させる攻撃が2022年以降に確認されています。
ネットサーフィン中に強制感染!
RedLine Stealer Resurfaces in Fresh RIG Exploit Kit Campaign - BitDefender
https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign/
今年 2022 年の初め、私たちは CVE-2021-26411 のエクスプロイトを使って悪意のあるペイロードを配信する RIG Exploit Kit のキャンペーンに気づきました。このペイロードの 1 つが、2022 年 1 月 3 日 に Bitdefender Labs が捕捉したトロイの木馬 RedLine Stealer でした。
具体的に、インターネットの閲覧に欠かせないブラウザ関連の脆弱性 (ぜいじゃくせい) を悪用する手口です。
- 強制的な感染のキッカケ
ユーザーが目視で危険性に気づくことが困難な 「マルバタイジング」 攻撃
→ ネット上で普通に目にする 広告の配信サーバーから攻撃処理 を流す手口 - 悪用された主な脆弱性
「Internet Explorer」 「Microsoft Edge 従来版」 の脆弱性
CVE-2021-26411 CVE-2020-0674 CVE-2019-0752 CVE-2018-8174 CVE-2016-0189
「Adobe Flash Player」 の脆弱性
CVE-2015-0313 CVE-2018-15982
→ いずれもサポート終了済み
時代錯誤なウイルス対策 「怪しいサイトやエッチなサイトにアクセスしない」 は通用しません。
ただ、ネットサーフィン中に 「RedLine Stealer」 に強制感染するリスクが高いのは、もはや危険レベルが振り切れている Windows XP、Windows Vista、Windows 7 になります。
Windows 10/11 有効なセキュリティ対策 |
---|
![]() 今月分の Windows Update が適用できているなら 影響なし → マイクロソフトは2021年3月にセキュリティ更新プログラムを配信済み |
![]() 導入されている Microsoft Edge、Google Chrome、Firefox → 最新版に更新して使用しているなら 影響なし |
対応する機能で分かる 「RedLine Stealer」 ウイルスに感染したら…
この記事を書くため 「RedLine Stealer」 ウイルスについて調べていると、海外のフォーラムでは 「RedLine Stealer」 に感染して流出した大規模なデータの公開して、金額を付けて売りさばいている投稿を複数見かけてヒェッとなりました。 



いったい 「RedLine Stealer」 ウイルスに感染したらどうなるのか、対応している主な機能を紹介します。 

RedLine Stealer 主要機能 2 つ |
---|
![]() ![]() |



- ウェブサイトの ユーザー名×パスワード
→ 保存しないようブラウザの設定でオフに変更できる - フォームの自動入力 のデータ
(住所・氏名・電話番号といった個人情報、クレジットカード情報)
→ 保存しないようブラウザの設定でオフに変更できる - Cookie … ウェブサービスの 2 段階認証を突破して不正アクセス実現の恐れ
【RedLine Stealer が情報窃取する Windows ブラウザ】
Chromium
Google Chrome
Opera
Opera GX
CoolNovo
Iridium Browser
CentBrowserVivaldiEpic Privacy BrowserSleipnir 5
Coowon Browser
Comodo Dragon
Torch Web Browser
Yandex Browser
Maxthon 3 Browser
Cốc Cốc
Brave
Microsoft Edge
【関連するブラウザのヘルプページ】https://support.google.com/chrome/answer/95647
・ Google Chrome
https://support.google.com/chrome/answer/95606
https://support.google.com/chrome/answer/142893
・ Microsoft Edge
https://support.microsoft.com/microsoft-edge/b4beecb0-f2a8-1ca0-f26f-9ec247a3f336
https://support.microsoft.com/microsoft-edge/81da697c-9910-d9b8-d50a-1712d96f3db8
https://support.microsoft.com/microsoft-edge/63947406-40ac-c3b8-57b9-2a946a29ae09


- Cookie … ウェブサービスの 2 段階認証を突破して不正アクセス実現の恐れ
【RedLine Stealer が情報窃取するブラウザ】
Mozilla FirefoxWaterfox
K-Meleon
Mozilla Thunderbird
Comodo IceDragon
Cyberfox
Pale Moon
【関連するブラウザのヘルプページ】
・ Mozilla Firefox
https://mzl.la/3vVeO8Y


- Steam (Valve Corporation) Firefly
└ Steam Guard SSFN ファイル … 2 段階認証を突破して Steam アカウントに不正アクセス実現の恐れ



- Telegram
- Discord
└ 認証トークン .ldb ファイル … 2 段階認証を突破して Discord アカウントに不正アクセス実現の恐れ


- FileZilla Firefly




- NordVPN Firefly
- OpenVPN
- Proton VPN

└ wallet.dat ファイルなど
【RedLine Stealer が窃取するデスクトップ ウォレット例】
ArmoryAtomic Wallet
Coinomi
Electrum Bitcoin Wallet
Ethereum
Exodus Wallet
Guarda
Jaxx
【RedLine Stealer が窃取する Chrome 拡張機能ウォレット】
Yoroi
TronLink
Nifty Wallet
MetaMask
Math Wallet
Coinbase Wallet
Binance Wallet
BraveWallet
Guarda
EQUAL Wallet
Jaxxx Liberty
BitApp Wallet
iWallet
Wombat
Oxygen Atomic Crypto Wallet
MEW CX
GuildWallet
Saturn Wallet
Ronin Wallet
Terra Station Wallet
Harmony Chrome Extension Wallet
Coin98 Wallet
EVER Wallet
KardiaChain Wallet
Phantom
Pali Wallet
BOLT X
Liquality Wallet
XDEFI Wallet
Nami
Maiar DeFi Wallet
Temple Tezos Wallet
---
Authenticator 2FA
└ テキストファイル (拡張子 .txt)、Word 文書ファイル (拡張子 .doc .docx)
└ ファイル名に 「key」 「wallet」 「seed」 といった文字列が含まれるファイル
└ ファイル名に 「key」 「wallet」 「seed」 といった文字列が含まれるファイル
- 探索対象 1 「デスクトップ フォルダー」
C:\Users\[ユーザー名]\Desktop\ ~ - 探索対象 2 「ドキュメント フォルダー」
C:\Users\[ユーザー名]\Documents\ ~


【統計的に収集されるシステム情報】
IP アドレス 〔https://api.ip.sb/ip〕
IP アドレスから推測された地理的位置 (国名・地域名)
Windows のユーザー名
パソコンのデバイス ID
Windows の表示言語
タイムゾーン
ディスプレイの解像度
Windows OS のエディション
CPU プロセッサ名GPU プロセッサ名実装 RAM の容量
動作するウイルス対策ソフトウェアの種類
インストールされているブラウザ一覧
インストールされているソフトウェア一覧

■ 「RedLine Stealer」 感染で乗っ取り被害
「RedLine Stealer」 ウイルスの感染をキッカケに 2 段階認証を突破されて様々なウェブサービスのアカウントで乗っ取り被害の発生、保有する仮想通貨の盗難、最悪 Windows パソコンが マルウェアの巣窟 へと一直線です。
- Twitter や Instagram アカウントを乗っ取される
(怪しい仮想通貨詐欺のスパムメッセージが勝手にツイートされる) - YouTube チャンネルが乗っ取られて怪しい動画を勝手に投稿される
- 保有する仮想通貨が見知らぬアドレスに勝手に送金されて盗まれる
- Steam アカウントを乗っ取られて、ゲームをプレイされた勝手に購入される
- Discord アカウントを乗っ取られて、運営するサーバーの管理権限を奪取される
詐欺のスパムメッセージがフレンド全員に宛てて勝手に送信される - テレワークで使っていた組織の VPN サーバーに侵入される
企業情報の漏洩やファイル暗号化ランサムウェア攻撃のキッカケになる
…枚挙にいとまがありません。 

YouTube 経路で 「RedLine Stealer」 ウイルス感染例
ウイルス感染経路が 「ウイルスメールで感染」 や 「ネットサーフィン中に強制感染」 ではなく、「RedLine Stealer」 のご厄介になる超身近なウイルス感染経路を画像付きで見てみます。
YouTube 動画でウイルス感染!?
無警戒な日本国内のユーザーを吸い寄せる ”橋渡し” になっているのが、動画配信プラットフォーム YouTube です。 

- 最新の Windows 10/11 も含む全 Windows ユーザーが影響を受ける
- 「RedLine Stealer」 をダウンロードさせて自爆感染させる最大規模の経路か
→ 「YouTube の動画だから危険性は低くて安全」 という誤解 - 自作コンテンツを公開できる複数のオンラインサービスが悪用されている
→ 不正と判断されうる URL (ドメイン) が登場しないためアクセス阻止が困難
【1】
普段から利用する検索エンジン (ドメイン名 「google.co.jp」 「search.yahoo.co.jp」 など) を使い、人気のゲームの 「crack」 (クラック) を探すキーワードでググりました。 

まずスルーすることのない検索結果の 1 ページ目にもっともらしい YouTube の動画が多数ヒットします。
【YouTube 動画が優遇されて裏目に】
検索結果の表示で自社サービス YouTube の動画を優遇する仕組みが悪用されている。一方、検索語句は 「チート」 や 「クラック」 に限らない。探し求めるユーザーとダウンロードの需要さえあれば何でもよく、fps を向上してゲームを快適にプレイできるようにするプログラムを餌にゲーマーを陥れる。暗号資産を運用するユーザーを狙うなら、稼げる 「マイニング」 「トレーディング」 用のソフトウェアで興味をひきつける。
【2】
アクセスすると、正真正銘本物の YouTube の動画視聴ページ (ドメイン名 「youtube.com」) です。
投稿されている動画は、「性的なコンテンツ」 や 「暴力的なコンテンツ」 は含まれておらず、Windows のデスクトップやゲーム画面の様子を映して、「チートツール」 や 「クラック」 を使い方を英語で指南する内容が多いです。
動画を単に視聴する分には何も問題は怒らないものの、危険なのが映像の下にある 説明欄 に記載されたファイルの 〔ダウンロード用〕 と称する URL リンクです。
【乗っ取られた YouTube チャンネルに危険な動画】
この攻撃を仕掛ける詐欺師は、乗っ取られた YouTube チャンネル に 「RedLine Stealer」 の感染を意図する危険な動画を投稿している。被害者の Windows パソコンから盗まれたブラウザの Cookie を悪用して 2 段階認証を突破して Google アカウントに不正アクセス していると考えられる。危険な動画の再生回数が数百~数千回に大きく水増しされていたり、コメント欄が動画の内容を称賛するメッセージで溢れ返っていたり、詐欺師の計略で信頼できる ”人気動画” に仕立て上げられていることも多い。
【3】
URL リンクをポチッとクリックすると、ファイルの投稿や共有が自由にできる海外の正当なオンライン・ストレージ (ドメイン名 「mediafire.com」 「mega.nz」 「drive.google.com」 「github.com」 「cdn.discordapp.com」 「dropbox.com」 など) に導かれます。
こうして、ネットをさまようこともなく、さほど苦労することなくダウンロードできた 「チートツール」 や 「クラック」 の正体が 「RedLine Stealer」 ウイルスでした。
圧縮ファイル内の実行ファイル 2 つが 「RedLine Stealer」
ダウンロードした配布ファイルの特徴 |
---|
![]() アーカイブ内の実行ファイル (拡張子 .exe) が危険 動作環境 Windows XP/Vista/7/8/10/11 ※ mac.OS、Android スマホ、iOS (iPhone / iPad) は影響なし |
![]() → アプリの配布パッケージっぽく雰囲気までも偽装してユーザーをだます |
![]() → ウイルス対策ソフトが検出不全に陥りやすい → セキュリティ会社や VirusTotal に巨大なファイルの送信が困難 → ユーザー数が多いであろう Microsoft Defender クラウド保護 を突破 |
■ パスワード付き圧縮ファイルの危険トラップ
ダウンロードして入手した圧縮ファイルの多くが パスワード付き なのも感染成功率を引き上げるポイントになっています。
圧縮ファイルの中身が認識できない
【ウイルス感染攻撃を成功裏に導く急所】
ユーザーがダウンロードした直後にセキュリティソフトでファイルをスキャンする
↓
ウイルス対策ソフトはパスワード付きの圧縮ファイルを 「無害」 と判定する
(理由: ファイル内部が保護されていてウイルススキャン不可能)↓判定結果を見たユーザーは問題のない安全なファイルを入手したと確信する恐れ
同じ理由で、圧縮ファイル内に脅威が含まれている危険な状況をオンライン・ストレージの運営元は事前に把握できなくなっていて、利用規約で明確に禁止されているコンピュータウイルス (マルウェア) が様々なオンライン・ストレージにアップロードされ放題になっています。 

■ 最後は RedLine Stealer の実行ファイルを開いて感染
いちおう、圧縮ファイルを解凍 (展開) した後のタイミングで、セキュリティソフトが活躍できるチャンスが訪れます。
ただ、用意周到な 詐欺師に出し抜かれてウイルス対策ソフトの対応が後手に回っている現実 に出会うと、「RedLine Stealer」 ウイルスの実行ファイル (拡張子 .exe) を躊躇なくダブルクリックで踏み抜いて The End となります。
【Reddit 掲示板で乗っ取り被害者の悲鳴】
自分は大バカです。オンラインで何かをダウンロードしたら、トロイの木馬 RedLine Stealer に感染した。Windows の ウイルス対策ソフト でブロックしていたけど、なかなか消えずに間違って許可してしまった。
自分の Instagram にログインされて 仮想通貨詐欺 のリンクが投稿された。YouTube アカウント も削除された。どうしたらいいのか分からない。セーフモードと通常のモードで Malwarebytes を実行したけど何も見つからなかった。
https://www.reddit.com/r/techsupport/comments/uvgyqu/
ここに投稿するのは初めてだけど、昨日 Battle.net と Activision のアカウントが乗っ取られて、今日復旧したところです。Malwarebytes が 「bluehack.exe」 を 「Spyware.Redline Stealer」 として発見できた。それを確実に削除したけど、Avast の無料版で一晩中スキャンを実行していて、まだ何も見つかっていない。他にどんな安全対策をすればいいか教えてくれない? 他にどんな情報を盗まれたか分からないし、もう流出させたくない。
https://www.reddit.com/r/antivirus/comments/pd8rkh/
自分はバカで、感染した .exe をクリックしてしまった (そう、前に VirusTotal で確認したけど安全そうだった)。Windows Defender が開いて、一瞬だけ 「RedLine Stealer」 と表示された後に隔離に移動された。.rar と展開されたファイル を削除して、隔離されたファイルを削除した。
その直後、自分の Discord アカウントが乗っ取られて、自分の名義でグループ/フレンドの全員にフィッシング詐欺のリンクが送信された。その後、感染した PC をインターネットから完全に遮断して、パスワードをすべて変更して、送信されたリンクをすべて削除した。
https://www.reddit.com/r/techsupport/comments/t4xp0s/
仮にブラウザやセキュリティソフトが警告や確認を促しても、探し物の 「チートツール」 や 「クラック」 を発見した自分に酔って気分が高揚していたり、セキュリティ意識が麻痺したユーザーさんは立ち止ることなく突っ走る展開になりそうです。 

RedLine Stealer ウイルスの危険ポイント

数日~数時間前に準備された新鮮な 「RedLine Stealer」 ウイルスを掴まされてもおかしくなく、Windows 標準のセキュリティソフト Microsoft Defender に脅威を検出させない体制で襲いかかる

YouTube 経由でユーザーを巧妙に誘導させて、正当なオンライン・ストレージからパスワード付きの圧縮ファイルをダウンロードさせることで、誰からも妨害されずに 「RedLine Stealer」 ウイルスをユーザーの目の前まで確実に持っていく

人間の心理的なスキを突く戦法は俄然有効で、手にしたファイルを 「文書」 「画像」 「動画」 「プログラム」 などと思い込ませることに成功すると、疑うことを知らないユーザーは不正なファイルを躊躇なく開く
[YouTube 視聴 ウイルス感染] [YouTube 危険 動画] [ユーチューブ ウイルスが検出されました] [YouTube 見ただけでウイルス] [YouTube ウイルスが見つかりました] [YouTube セキュリティ警告] [RedLine Stealer とは] [RedLine Stealer 感染したら] [チートツール ダウンロード] [ウイルス感染経路 最新] [トロイの木馬 RedLine] [Redline Stealer Activity 2] [Trojan Redline Stealer] …