悪意ある ソフトウェアの設計者たちが、皮肉にも自らのインフラ内で見落としていた脆弱性の餌食となってしまった。この皮肉の中心にあるのがStealCであり、「Malware-as-a-Service」(MaaS)という枠組みの下で稼働する蔓延性の高い情報窃取型マルウェアで、Cookieや認証情報、その他の機微なインテリジェンスを流出させる能力で知られている。洗練された管理パネルやキャンペーン追跡機能を備えた、プロフェッショナルな高度さの外観とは裏腹に、そのWebインターフェースに存在した初歩的な欠陥が、最終的に作成者自身の失墜を招いた。
2025年春にStealCが第2世代へ移行した際には、一連のシステム的な失敗が影を落とした。公開直後、コントロールパネルのソースコードが漏えいし、TRAC Labsは「失敗したスティーラーの検死」と題する痛烈な技術的暴露記事を公表した。しかし、センセーショナルな見出しの背後には、より重大な発見があった。パネル内の致命的な欠陥により、研究者は敵対者の聖域へ侵入でき、システムのフィンガープリント、アクティブなセッショントークン、流出したCookie、そして運用を統括するために使用されていた具体的なIPアドレスが露呈したのである。
StealCインターフェースに存在したクロスサイトスクリプティング(XSS)脆弱性は驚くほど初歩的で、外部の端末から管理者セッションを乗っ取ることを可能にしていた。状況の詩的な因果応報として注目されたのは、Cookieの大量流出を目的に設計されたツールの開発者が、自分たちのデータを守るためのhttpOnly属性のような基本的な防御策すら実装していなかった点である。
調査担当者にとって特に関心を引いたのは、YouTubeTAと呼ばれる運用者だった。このアクターのキャンペーンでは、かつて正当なコンテンツを掲載していた古参のYouTubeアカウントが利用されていた。時間の経過とともに、これらのアカウントはAdobeソフトの「クラック版」に偽装したマルウェアを配布するために転用された。そうした違法コンテンツを求める被害者は、感染リンクへと誘導された。実行されると、StealCは侵害の瞬間にユーザーがまさにこれらの特定の欺瞞ページを閲覧していたことを示すスクリーンショットを取得した。
YouTubeTAが所有するコマンド&コントロール(C2)サーバーには、StealCによって収集された5,000件超のログが保管されており、その内容は39万件以上のパスワードと約3,000万件のCookieに及んでいた。StealCのインターフェース上で、この運用者はstudio.youtube[.]comのようなドメインの認証情報を特に抽出しており、影響力のあるクリエイターチャンネルを乗っ取る意図的な試みが示唆される。さらに、2025年に悪名を高めたソーシャルエンジニアリング手法であるClickfixが用いられ、緩いブラウザ設定を悪用して、緊急の更新や修復を装った悪意ある要素を被害者に操作させた。
流出したパネルデータの分析から、YouTubeTAは集団ではなく単独の運用者である可能性が高いことが示唆される。記録されたすべてのセッションは同一のハードウェア署名を示しており、画面サイズとWebGLレンダラーはいずれもM3プロセッサ搭載のAppleデバイスを一貫して識別していた。管理パネルへのアクセスは単一ユーザーによるもので、2025年7月に記録された注目すべきIPアドレスは、ウクライナのインターネットサービスプロバイダーに追跡された。
YouTubeTAの一件は、MaaSモデルに依存する敵対者が本質的に脆弱であることを浮き彫りにしている。技術インフラを第三者に委ねることで、開発者のたった一つの見落としが全面的なデータ露出と匿名性の剥奪につながり得るという、システム的リスクに自らをさらすことになる。結局のところ、盗まれたデータを扱う者であっても、自身の職業的怠慢がもたらす帰結から免れることはできないのだ。
