500ミリ秒。このマルウェアがクリップボードを監視する間隔だ。ウォレットアドレスをコピーする瞬間を待ち伏せし、攻撃者のアドレスにすり替える。Microsoftが2026年6月17日に公表したが、このマルウェアは2026年2月から静かに活動を続けていた。なぜ重要か。暗号資産を扱う際に誰もが行う最も基本的な操作、アドレスのコピー&ペーストを狙っているからだ。
正式な名称はクリプトクリッパーで、MicrosoftのDefenderはTrojan:Win32/CryptoBandits.Aとして検出する。感染したUSBメモリを介してWindowsシステムに広がり、Binanceも自社ユーザーに注意喚起を行った。単純なデータ窃取ツールではなく、自己拡散機能、リモートアクセスのバックドア、そしてTorネットワークを組み合わせた複合型の脅威だ。
攻撃の仕組みはどうなっているか
実は、一連の動作は精密かつ静かで、利用者がほとんど気づかないまま進行する。
- 1. 感染したUSBメモリ:本物のファイルが隠され、ドキュメントに偽装したショートカットに置き換えられる。
- 2. 実行:偽のショートカットを開くとスクリプトが起動し、再起動後も動作を維持する計画タスクとともにワームがインストールされる。
- 3. 監視:マルウェアはWindowsのクリップボードを500ミリ秒ごとに監視し、定期的にスクリーンショットを取得する。
- 4. 窃取とすり替え:シードフレーズと秘密鍵を探し出し、コピーしたアドレスを攻撃者のアドレスに置き換える。
- 5. データ送信:盗んだデータはTorネットワーク経由で送出され、攻撃者のインフラを追跡困難にする。
Since February 2026, Microsoft Defender Experts have tracked a cryptocurrency clipper campaign that combines clipboard theft, wallet address replacement, worm-like functionality, and Tor-based communications, enabling both financial gain and continued access to devices.…
,Microsoft Threat Intelligence (@MsftSecIntel) June 17, 2026
通常のクリッパーより危険な理由
リスクを一段と高める要素が三つある。一つ目はTorネットワークの利用だ。ローカルプロキシと隠蔽アドレスを通じて通信を経路制御することで、攻撃者の特定をほぼ不可能にしている。二つ目はバックドアの存在で、データ窃取にとどまらず、後からランサムウェアや追加の攻撃コードを実行する経路を開く。三つ目が最も巧妙だ。
コピーしたアドレスをすり替える際。マルウェアは元のアドレスに似た文字列を生成する。先頭と末尾の数文字を一致させることで。注意が散漫なユーザーは確認時に気づきにくい。Bitcoin(複数のアドレス形式に対応)。Ethereum、Tron、Moneroが攻撃対象だ。金融庁(FSA)が毎年公表する暗号資産交換業者へのセキュリティ指導においても。クリップボード型攻撃への警戒が繰り返し促されている。
どう身を守るか
対策はシンプルで、誰でも今日から実践できる。
- 自動実行を無効化する:リムーバブルデバイスのAutoRunとAutoPlayをオフにすれば、USBメモリが自動的に何かを起動することはなくなる。
- 出所不明なUSBメモリを信頼しない:入手元が不確かなあらゆる記憶媒体を、感染している可能性があるものとして扱う。
- アドレス全体を必ず確認する:送信前にアドレスの全文字を照合する。先頭と末尾だけの確認では不十分だ。
- ハードウェアウォレットを使用する:デバイスの画面上でアドレスを直接確認することで、クリップボードへのマルウェアの介入を回避できる。日本国内ではbitFlyer、Coincheck、SBI VCトレードを利用するユーザーも、出金アドレスの最終確認にハードウェアウォレットの活用が推奨される。
弱点は一点に集約される。クリップボードだ。コピーからペーストまでの一瞬、そこで窃取が完結する。ほぼすべてのリスクを無力化する習慣は単純で強力だ。アドレス全体を確認し、物理デバイスで最終確認する。Microsoftの公式情報はMicrosoft公式サイトで随時更新されており、日本国内のサイバーセキュリティ情報はNIST準拠の対策を推進する内閣サイバーセキュリティセンター(NISC)も参照されたい。暗号資産に関するセキュリティ事例は今後も継続して追跡していく。
