闇市場に現れた「SantaStealer」:その野心的な正体
サイバーセキュリティの闇市場に、新たな脅威がその姿を現しました。その名は「SantaStealer」。このマルウェア・アズ・ア・サービス(MaaS)型情報窃取マルウェアは、2025年末のリリースを目標に、アンダーグラウンドフォーラムやTelegramチャンネルで積極的に宣伝されています。セキュリティ企業Rapid7 Labsが2025年12月初旬にその存在を確認して以来、この脅威はサイバーセキュリティコミュニティの注目を集めています。
SantaStealerは、以前は「BluelineStealer」という名称で開発が進められていましたが、より攻撃的なブランドイメージを構築するためか、この名称へと変更されました。Rapid7の調査によれば、このリブランディングは2025年11月25日には既にTelegramメッセージで告知されており、開発者たちはそのリリースを間近に控えていることを示唆していました。そして、2025年12月16日には、公式Telegramチャンネルで「生産準備完了」が宣言され、実際に流通が開始されたことが確認されています。
この情報窃取マルウェアは、機密文書、認証情報、仮想通貨ウォレット、そして多岐にわたるアプリケーションからのデータを標的としています。開発者たちは、ファイルベースの検出を回避するため、完全にメモリ内で動作することを目指していると豪語しています。盗み出されたデータは圧縮され、10MBのチャンクに分割された後、暗号化されていないHTTPを介してC2(コマンド&コントロール)サーバーへ送信される仕組みです。
Rapid7の分析では、SantaStealerのオペレーターがロシア語圏の人物である可能性が高いことが示唆されています。これは、ロシア語圏のハッカーフォーラム「Lolz.live/santa/」での宣伝活動、ウェブパネルのトップレベルドメイン名が旧ソビエト連邦を示す「.su」であること、そしてCIS(独立国家共同体)諸国を標的にしない設定オプションが存在することから推測されます。このような地域的な除外は、ロシアを拠点とする多くの情報窃取マルウェアに共通する特徴であり、その背景には法的なリスク回避や特定のコミュニティ内での不干渉原則があると考えられています。
開発者の虚飾と現実:見破られた「完全未検出」の嘘
SantaStealerの開発者たちは、そのマルウェアを「完全にC言語で書かれている」「カスタムCポリモーフィックエンジンを搭載」「完全に検出されない」と、大胆な主張を掲げて宣伝していました。しかし、Rapid7の研究者たちが分析した初期のサンプルは、これらの主張とは裏腹に、その実態がはるかに未熟であることを露呈しました。分析されたサンプルは難読化されておらず、シンボル名や平文の文字列がそのまま残されており、セキュリティアナリストによる詳細な解析を容易にしました。
特に注目すべきは、このマルウェアが64ビットのDLLファイルとして構築されていた点です。通常、マルウェアがDLL形式で提供される場合、その呼び出し方法には工夫が必要ですが、この選択は開発者にとって意図せぬ結果をもたらしました。500を超えるエクスポートされたシンボル(例:「payload_main」「check_antivm」「browser_names」など、非常に記述的な名前)が公開されており、さらには静的にリンクされたライブラリ(cJSON、miniz、sqlite3)のシンボルまで特定が容易でした。これは、開発者の運用セキュリティ(OpSec)の甘さを浮き彫りにする重大なミスと言えるでしょう。
このような運用セキュリティの失敗は、マルウェアの「生産準備完了」が宣言される前にサンプルが流出したことと相まって、開発に費やされた多大な労力を無駄にする結果となりました。ウェブパネルでは、マルウェアが高度なアンチ分析技術やアンチウイルスソフトウェアの回避機能を備えていると謳われていましたが、初期サンプルからはそのような高度な機能はほとんど確認されませんでした。このギャップは、SantaStealerがまだ開発途上であり、宣伝されている機能の多くが未実装であるか、あるいは単なる誇大広告である可能性を示唆しています。
SantaStealerは、月額175ドルの基本プランから、月額300ドルのプレミアムプランまで、サブスクリプションベースのMaaSモデルで提供されています。この価格設定は、開発者たちの商業的な野心と、高度な機能を備えた情報窃取マルウェアとして市場での地位を確立しようとする意図を明確に示しています。しかし、現状の技術的な未熟さを考慮すると、その価格に見合う価値があるのかは疑問符が付きます。ウェブパネルには「マルウェアのスキャン」機能(検出状況の確認)も存在しますが、ファイルの共有や匿名性が保証されるという主張についても、疑念が残ります。
標的と機能:多岐にわたる情報窃取の手口
SantaStealerの主要な目的は、被害者のシステムから可能な限り多くの機密情報を窃取することにあります。その標的は多岐にわたり、ウェブブラウザに保存された認証情報、クッキー、クレジットカード情報、さらにはTelegram、Discord、Steamといった人気アプリケーションのアカウントデータ、環境変数、スクリーンショット、文書ファイル、メモなどが含まれます。この広範なデータ収集能力は、現代のデジタルライフにおけるユーザーのあらゆる側面を狙う、包括的なアプローチを示しています。
マルウェアの設計は、モジュール化されたマルチスレッドアーキテクチャを採用しており、これがその多様な情報窃取能力を支えています。メインルーチンである`payload_main`関数は、まず設定ファイルから`anti_cis`(CIS諸国を標的にしない設定)や`exec_delay_seconds`(実行遅延時間)の値を読み込み、それに従って動作します。もしCISチェックが有効で、ロシア語のキーボードレイアウトが検出された場合、マルウェアは「CIS」という空のファイルをドロップして実行を終了します。これは、ロシア語圏のオペレーターが自国の法執行機関からの追及を避けるための一般的な手口です。
その後、設定された秒数だけ待機した後、`check_antivm`、`payload_credentials`、`create_memory_based_log`といった主要な機能が呼び出され、`ThreadPayload1`というルーチンを実行するスレッドが作成されます。`create_memory_based_log`関数は、各情報窃取モジュールに対して個別のスレッドを生成し、データを収集します。Rapid7の分析では、環境変数の読み取り、スクリーンショットの撮影、文書やメモの取得といった汎用モジュールに加え、Telegramデスクトップアプリケーション、Discord、Steam、さらにはブラウザ拡張機能、履歴、パスワードからデータを窃取するための専門モジュールなど、合計14種類のモジュールが確認されています。
これらのモジュールは、収集したファイルをメモリ内で一時的に保持し、最終的に「Log.zip」という単一のZIPファイルにまとめてTEMPディレクトリに書き込みます。この一連のプロセスは、マルウェアがシステム上で痕跡を残すことを最小限に抑えようとする試みの一環であり、ファイルベースの検出を回避するという開発者の野心的な目標を反映しています。しかし、その実装の詳細は、後述するように、必ずしも高度なものではありません。
ブラウザ認証情報の巧妙な奪取メカニズム
SantaStealerの最も重要な機能の一つは、ウェブブラウザに保存された認証情報を窃取する能力です。特に、Chromiumベースのブラウザ(Google Chrome、Microsoft Edgeなど)が採用している「AppBound Encryption (ABE)」というセキュリティメカニズムを迂回する手法は、このマルウェアの技術的な側面において最も洗練された部分と言えるでしょう。ABEは、ブラウザの認証情報を特定のユーザープロファイルとデバイスに紐付け、不正なアクセスから保護するための仕組みですが、SantaStealerはこの保護を突破します。
この目的のために、SantaStealerは追加の実行可能ファイルをマルウェア本体に埋め込んでいます。この実行可能ファイルは、サンプルによってはディスクにドロップされて実行されるか、あるいは完全にメモリ内でロードされて実行されます。この手法は、マルウェアがディスク上に痕跡を残すことを最小限に抑えようとする開発者の意図を反映しており、よりステルス性の高い運用を目指していることが伺えます。
抽出された実行可能ファイルは、さらにリソース内に暗号化されたDLLを内包しています。このDLLは、ChaCha20暗号化アルゴリズムを2回連続して呼び出すことで復号されます。復号されたDLLは、「ChromeElevator_Initialize」「ChromeElevator_ProcessAllBrowsers」「ChromeElevator_Cleanup」といった関数をエクスポートしており、これらが順に呼び出されることでブラウザからの情報窃取が実行されます。これらのシンボル名やChaCha20の使用、そして認識可能な文字列の存在から、セキュリティ研究者たちは、この実行可能ファイルとDLLが、公開されている「ChromElevator」プロジェクト(xaitax/Chrome-App-Bound-Encryption-Decryption)のコードを大幅に基にしていると推測しています。
「ChromElevator」プロジェクトは、直接的なシステムコールベースのリフレクティブプロセスホローイング(Reflective Process Hollowing)を用いて、ターゲットブラウザのプロセスにコードを注入する技術を利用しています。これにより、攻撃者は正規のブラウザプロセスのセキュリティコンテキストを乗っ取り、AppBound Encryptionキーを復号して、保存されている認証情報を窃取することが可能になります。この部分は、SantaStealerが単なる汎用的な情報窃取マルウェアではなく、特定の防御メカニズムを標的とした高度な技術も取り入れていることを示しています。
隠蔽工作と脆弱な通信経路:C2との連携
SantaStealerは、その野心的な宣伝文句とは裏腹に、アンチ分析およびアンチVM(仮想マシン)の回避技術においては、まだ基本的なレベルに留まっています。マルウェアは、`check_antivm`関数を通じて、仮想環境やデバッガの存在を検出する試みを行います。これには、ブラックリストに登録されたプロセス名やコンピューター名のチェック、特定の「分析環境」ディレクトリ(例:「C:\analysis」)の有無、実行中のプロセス数、システム稼働時間、VirtualBoxサービスの存在確認、そして時間ベースのデバッガチェックなどが含まれます。
これらのアンチ分析機能の実装は、サンプルによって異なることが確認されており、マルウェアが現在も活発に開発中であることを示唆しています。しかし、これらのチェックは、既存の多くの情報窃取マルウェアで一般的に見られる手法であり、LummaやVidarといったより洗練されたマルウェアと比較すると、その回避能力は限定的です。もし仮想環境やデバッガが検出された場合、SantaStealerは実行を終了し、分析を妨害しようとします。
情報収集が完了すると、マルウェアは`ThreadPayload1`スレッドを起動し、15秒間のスリープの後、`payload_send`関数を呼び出します。この関数は、`send_zip_from_memory_0`を介して、メモリ内に収集されたZIPファイルを10MBのチャンクに分割します。その後、`send_upload_chunk`関数がこれらのチャンクをC2サーバーにアップロードします。このデータ流出プロセスは、驚くべきことに、暗号化されていないHTTPプロトコルを介して行われます。
C2サーバーへの通信は、ハードコードされたIPアドレス(例:31.57.38.244:6767、80.76.49.114:6767)の`/upload`エンドポイントに対して行われます。この通信には、`User-Agent: upload`、`Content-Type: multipart/form-data`、`auth`(ユニークなビルドID)、`w`(キャンペーンやトラフィックソースを区別するためのタグ)、そして最終リクエストでのみ`complete: true`といった特殊なヘッダーが付加されます。しかし、データ自体が平文のHTTPで送信されるという設計は、開発者が謳う「高度な運用セキュリティ」とはかけ離れており、セキュリティチームによる検出と分析を大幅に容易にしています。
未熟な野心:進化途上の情報窃取マルウェア
Rapid7やHive Proによる詳細な分析から、SantaStealerは確かに活発に開発が進められている情報窃取マルウェアであることが明らかになりました。モジュール化されたマルチスレッド設計は、開発者の説明と一致しており、特にChromeブラウザの認証情報復号DLLがメモリ内でロード・実行されるなど、一部の機能はファイルレスな収集アプローチへと移行しつつあります。これは、現代のマルウェア開発トレンドに沿った進化の兆候と見ることができます。
しかし、その一方で、ウェブパネルで宣伝されているアンチ分析やステルス機能は、依然として非常に基本的でアマチュアレベルに留まっています。第三者製のChrome復号ペイロードが多少隠蔽されている点を除けば、マルウェアの設定情報やC2サーバーのIPアドレスが平文で実行ファイルに埋め込まれているなど、検出と追跡は現時点では比較的容易です。このような運用セキュリティの甘さは、SantaStealerが「生産準備完了」と謳われながらも、技術的にはまだ成熟していない段階にあることを示唆しています。
SantaStealerは、その商業的な野心と、広範な情報窃取能力を誇る一方で、技術的な実行面では既存の洗練された情報窃取マルウェア(LummaやVidarなど)には及ばないというのが、現在のセキュリティ研究者たちの共通認識です。このマルウェアが将来的に、宣伝通りの暗号化、難読化、高度なアンチ分析技術を実装する可能性はありますが、現状ではその「完全未検出」という主張は、単なる誇大広告に過ぎません。
このような状況を踏まえ、組織や個人がSantaStealerのような脅威から身を守るためには、基本的なセキュリティ対策の徹底が極めて重要です。具体的には、不審なリンクや電子メールの添付ファイル、偽の人間認証、コマンド実行を促すテクニカルサポート詐欺など、ソーシャルエンジニアリングの手口に警戒し、未検証のコード(海賊版ソフトウェア、ゲームチート、未認証のプラグインや拡張機能など)の実行を避けることが推奨されます。また、強力な多要素認証の導入、アプリケーションのホワイトリスティング、そして次世代アンチウイルスやEDR(Endpoint Detection and Response)プラットフォームによる振る舞い分析を活用したエンドポイント保護の強化が、この種の脅威に対する効果的な防御策となります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -SantaStealer is Coming to Town: A New, Ambitious Infostealer Advertised on Underground Forums | Rapid7 Blog - https://www.rapid7.com/blog/post/tr-santastealer-is-coming-to-town-a-new-ambitious-infostealer-advertised-on-underground-forums/
- -SantaStealer: An Emerging MaaS Infostealer Ahead of Its 2025 Debut | Hive Pro Threat Advisories - https://hivepro.com/threat-advisory/santastealer-an-emerging-maas-infostealer-ahead-of-its-2025-debut/
- -SantaStealer - a new MaaS infostealer - https://www.broadcom.com/support/security-center/protection-bulletin/santastealer-a-new-maas-infostealer