サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析 | ScanNetSecurity
2026.07.03(金)

サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

 検討した結果、深堀する対象を「スクリーンショット」に決めた。攻撃者は、インフォスティーラーが収集するデータにスクリーンショットを含めることがある。「スクリーンショットの中には攻撃手法や攻撃者の属性につながるスクリーンショットも存在する」とオリヴィエはサンプル画面を投影しながら説明した。

研修・セミナー・カンファレンス
インフォスティーラーがキャプチャした被害者の画面の例
  • インフォスティーラーがキャプチャした被害者の画面の例
  • エステル・ルーラン(右)とオリヴィエ・バイロデュー(左)
  • スクリーンショット分析結果例:被害者が YouTube で「ESET アンチウイルスの無料クラック」動画を見ながら、偽のライセンスキーを入力しようとしている瞬間のスクリーンショットであることを LLM が記述できている

 インフォスティーラーはランサムウェアほど注目されていないが密接に関わっている脅威だ。ランサムウェア攻撃では、初期侵入のためのアカウント窃取や、侵入後の横展開に必要な認証情報の収集にインフォスティーラーが利用されることがある。特に多要素認証の普及に伴い、セッションキーやクッキーを窃取できるインフォスティーラーの重要性はむしろ高まっている。

● インフォスティーラーとTelegramの関係

 興味深いアプローチでインフォスティーラー(を利用する攻撃アクター)を追跡した研究者がいる。エステル・ルーランとオリヴィエ・バイロデューだ。ふたりは Black Hat USA 2025 で『Hacker Dropping Mid-Heist Selfies - LLM Identifies Information Stealer Infection Vectors and Extracts IoC』と題した講演でこの研究成果を発表した。

 インフォスティーラーは、侵入した PC などでさまざまなログを収集する。収集されるログは「キー入力」「各種資格情報」「セッションキー」「クリップボードの内容」「パスワードマネージャーのデータ」など多岐にわたる。

 収集されたデータは C2 サーバーに送られるが、送信時に正規のメッセージングアプリである Telegram の API 機能を悪用するマルウェアが存在する。彼らは、インフォスティーラーを追跡するために、まず Telegram に目を付けた。マルウェアに埋め込まれた特定の Bot 情報や通信先チャネルは、攻撃ネットワークを特定する強力な痕跡、IoC(Indicator of Compromise)になるからだ。

また、Telegram は攻撃者がデータを販売するときにも利用される。攻撃アクターのチャネルをウォッチしていると、収集されたデータのサンプルやリストが確認できるという。Telegram 監視によってこのような解析データも入手できると考えて膨大なデータを集めていったが、前述したようにデータは多岐にわたり、どう解析するかが問題になった。

● 攻撃者は犯行現場で自撮りをしている?

 検討した結果、深堀する対象を「スクリーンショット」に決めた。攻撃者は、インフォスティーラーが収集するデータにスクリーンショットを含めることがある。

 「スクリーンショットの中には攻撃手法や攻撃者の属性につながるスクリーンショットも存在する」とオリヴィエはサンプル画面を投影しながら説明した。

インフォスティーラーがキャプチャした被害者のスクリーンショットの例

「このスクリーンショットを見てほしい。フォートナイト(人気オンラインゲーム)のチート行為に関する動画のようだ。よく見ると、マルウェアをダウンロードさせるリンクが写り込んでいるのがわかる。攻撃者が用いるマルウェアがスクリーンショットを撮るのには理由があって、それはデスクトップの様子を見れば、その PC がセキュリティ研究者のサンドボックスか本物の被害者かを攻撃者が判別できるからだ。ところが、自動撮影されたそれらのスクリーンショットには感染経路や配布サイト、誘導に使われた動画といった攻撃者自身の手口まで写り込んでいる場合がある。防御側がこれを分析すれば、攻撃キャンペーンを追跡できる可能性がある。本人にその意図がなくても攻撃者が犯行現場でセルフィー(自撮り写真)(編集部註:攻撃の手口が写り込んだ証拠写真の比喩)を撮って落としていくようなものなのだ」

 これが本講演のタイトル「Mid-Heist Selfies(犯行中のセルフィー)」の由来だ。

● 画像認識しても攻撃者のねらいはわからない

 彼らの Telegram 潜入調査では、11 種類のマルウェアと1,500 万件(!)ものスクリーンショットを集めることができたという。膨大なデータ量だが彼らは LLM を解析に使った。

 ここで登場するのが、データアナリストのエステルだ。彼女は「解析は 2 段階のパイプライン処理で行った」とする。

エステル・ルーラン(右)とオリヴィエ・バイロデュー(左)

《中尾 真二( Shinji Nakao )》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)

×