近年、仮想通貨窃盗オペレーションは、孤立したフィッシングページや偽のNFTミント詐欺をはるかに超えて進化しています。かつては主に悪意のあるウォレット接続ページを実行する個々の攻撃者で構成されていましたが、近年では「Drainer-as-a-Service」（DaaS）プラットフォームを中心に構築された構造化されたアンダーグラウンドサービス経済へとますます発展しています。 従来のマルウェアオペレーションとは異なり、クリプトドレイナーは通常、デバイスの侵害よりもソーシャルエンジニアリングに依存しています。被害者は偽の仮想通貨、NFT、エアドロップ、またはDeFiウェブサイトに誘導され、ウォレットの接続を求められます。悪意のあるトランザクションまたはウォレット署名が承認されると、ドレイナーは数秒以内に被害者のウォレットから直接仮想通貨資産を転送できます。 **Flare**の研究者による、2025年1月から2026年初頭にかけて「Lucifer DaaS」に関連するアンダーグラウンドフォーラム、チャット、およびチャンネルから収集された約700件の投稿に対する分析は、最新のドレイナーオペレーションが内部でどのように機能しているかについてのまれな洞察を提供します。 この調査結果は、アフィリエイトの成長、自動化、フィッシングのスケーラビリティ、ウォレットセキュリティのバイパス、および運用上の回復力に焦点を当てた、ますますプロフェッショナル化されたエコシステムを明らかにしています。 分析されたデータは、最新のドレイナーオペレーションがますます正規のSaaSビジネスと同様に機能していることを示唆しています。Luciferの背後にある攻撃者は、ソフトウェアリリース、バグ修正、アフィリエイトコミッション、カスタマーサポート、ホスティング推奨事項、デプロイメント自動化、ウェブサイトクローニング、および紹介システムについて議論しており、DaaSエコシステムがアンダーグラウンドコミュニティ内でどのように進化しているかについての深い洞察を提供しています。 ## ドレイナーとは何か、そしてどのように機能するか クリプトドレイナーは、ウォレットの権限とトランザクション承認を悪用して、被害者のウォレットから直接仮想通貨資産を盗むように設計されたツールです。攻撃者はウォレット自体をハッキングする代わりに、通常、被害者を偽の仮想通貨、NFT、エアドロップ、DeFi、またはトークン請求ウェブサイトに誘導し、ウォレットを接続させ、悪意のあるリクエストまたは署名を承認するように騙します。 権限が付与されると、ドレイナーは数秒以内に、多くの場合複数のブロックチェーンにわたって、被害者のウォレットから攻撃者が管理するウォレットにトークン、NFT、またはその他のデジタル資産を自動的に転送できます。  ## Drainer-as-a-Service このモデルでは、オペレーターがドレイニングインフラストラクチャを開発および維持し、アフィリエイトが被害者をもたらします。アフィリエイトの仕事は、フィッシングリンク、偽のウェブサイト、侵害されたソーシャルメディアアカウント、広告、スパム、またはダイレクトメッセージを通じてトラフィックを生成することです。DaaSオペレーターは、ウォレットのやり取り、トランザクションロジック、アラート、および資産ドレイニングフローを処理します。 Luciferデータセットは、このモデルを明確に示しています。あるプロモーション投稿で、攻撃者はアフィリエイトが「フィッシングリンク、偽のウェブサイト、および同様の方法を通じてトラフィックを提供する」と説明し、サービスは「署名、承認、およびトークン転送」を管理すると述べています。同じ投稿では、サービスはコミッションベースであると説明されており、Lucifer DrainerはERC20サポート、Permit2、オフチェーン署名、ウォレットセキュリティバイパス、マルチチェーンサポート、および継続的な製品アップデートを備えた「プロフェッショナルソリューション」として提示されています。  この言葉遣いは重要です。オペレーターは一度限りのマルウェアキットを販売しているわけではありません。彼らはプラットフォームへの参加を販売しています。  彼らのTelegramチャンネルは、同じ点を強調しています。Luciferは繰り返し、ソフトウェアは「販売されていない」と述べており、オペレーターは成功した「ヒット」から20％の手数料を受け取ります。2025年5月、チャンネルはソフトウェアを販売またはリースしておらず、「ヒットごとに20％」を分割するだけだと書いていました。 これは、古いフィッシングキットよりもランサムウェアアフィリエイトモデルに近いものです。開発者が製品を維持する一方で、アフィリエイトはオペレーションを収益化するためのトラフィックをもたらし、利益は共有されます。 ## Luciferをケーススタディとして Luciferチャンネルは、ドレイナーオペレーションが公に構造化されたDaaSプラットフォームへと進化していることを示しています。  2025年3月、グループはバージョン6.6.6を発表し、ERC20サポート、Permit2の悪用、オフチェーン署名、Telegram通知、ウォレットセキュリティバイパス、およびマルチチェーン機能を宣伝しました。同じ発表で、ソフトウェアは販売されておらず、オペレーターが成功した「ヒット」から20％の手数料を受け取ることを再び強調しました。 それ以降、チャンネルは典型的なマルウェアオペレーションよりもソフトウェア開発フィードにますます似てきました。オペレーターは、バグ修正、ウォレット互換性アップデート、Telegramブラウザサポート、デプロイメント改善、およびホスティング機能を発表しました。 最も注目すべき追加機能の1つは、アフィリエイトがフィッシングページをクローンし、最新のLuciferコードがプリロードされたZIPファイルを受け取ることができるウェブサイトクローニング機能でした。 時間の経過とともに、オペレーションは自動化へと大きく移行しました。後のアップデートでは、「Zero Config」デプロイメントワークフローが導入され、アフィリエイトが静的ファイルをアップロードし、フィッシング準備完了パッケージを自動生成し、最小限の手作業でインフラストラクチャをデプロイできるようになりました。これにより、アフィリエイトの技術的な障壁が大幅に低下しました。  より広範なデータセットは、LuciferがInferno、Angel、Venom、Nova、Ghost、Medusa、Vega、Monkeyなどの他のドレイナーブランドが議論されていたアンダーグラウンドコミュニティ全体で積極的に募集していたことも示しています。投稿全体で繰り返し現れるテーマは「トラフィック」でした。オペレーターは、アフィリエイトは高度な技術スキルよりも、被害者とフィッシング配布能力を必要とすることを繰り返し強調しました。 しかし、グループは完全な初心者も歓迎されないと警告しており、オペレーターは運用上のオーバーヘッドを限定して信頼性の高いフィッシングトラフィックを生成できる経験豊富なアフィリエイトを優先していることを示唆しています。 ## テイクダウン後の回復力 他のアンダーグラウンドサービスと同様に、Luciferも運用上の回復力の兆候を示しています。 2025年8月、彼らのTelegramボットが禁止されたため、チャンネルのユーザーに新しいボットを作成し、管理者権限を付与するように指示しました。グループは、移行後の構成問題の解決方法も提供しました。 2025年11月、Luciferは、調査レポートの後、**Google Firebase**でホストされていたドキュメントドメインが停止されたと述べました。グループは、ドキュメントを**InterPlanetary File System (IPFS)**（データを保存および配布するために使用される分散型ピアツーピアファイル共有プロトコル）に移行することで対応し、テイクダウン後にオペレーションを継続するための手段として分散化を提示しました。 これは、より広範なドレイナーエコシステムで見られる行動を反映しています。**Check Point**による「Inferno Drainer」の研究では、ウォレットの警告、ブラックリスト、およびアンチフィッシング防御にもかかわらず、オペレーションがどのように適応し続けたかが説明されています。 ## なぜドレイナーはサイバー犯罪者にとってそれほど魅力的になったのか ドレイナーは、最新のクリプト犯罪の構造に合致するため、人気を博しました。 クリプト資産は流動性が高く、動きが速く、一度転送されると多くの場合取り消し不可能です。攻撃者は銀行ポータルを侵害したり、ミュールアカウントを待ったりする必要はありません。ウォレットの承認が成功すると、資産を即座に「ドレイン」できます。 また、従来の金融と比較して、クリプトセキュリティの相対的な未熟さからも恩恵を受けています。LuciferのようなDaaSプラットフォームが進化し続けるにつれて、セキュリティ専門家やクリプトユーザーは、これらのますます洗練された脅威に対して警戒を続ける必要があります。