忍び寄る暗号マイナー：Holaブラウザを襲ったサプライチェーン侵害

インストール後、マルウェアは以下の入念な手順でPCに居座り続けました。

• ファイルの偽装: 自らを

  C:\Program Files\Hola\HolaMonitorService.exe

  という、一見すると正規の監視コンポーネントに見えるパスとファイル名でコピーしました 。
• サービスの登録: 次に、hola_monitor_svcという名前のWindowsサービスを作成し、スタートアップの種類を「自動（0x00000002）」に設定。これにより、システムが起動するたびに自動的にマイナーが起動するようになりました 。
• 防御機能の回避: Windows Defenderによる検出をすり抜けるため、同アンチウイルスソフトの除外パスに対象のフォルダを追加しました 。
• 匿名性と偽装: me.exeというバイナリ自体は、デジタル署名や有効なタイムスタンプを持たず、コードも難読化されていました。セキュリティ研究者は、この「me.exe」というファイル名自体、そこら中にありそうな平凡さを狙って選ばれたと指摘しています 。

影響範囲は限定的、しかし攻撃の本質は深刻

今回、推定で影響を受けたのは、Hola Browserユーザー全体の約0.1% に過ぎませんでした 。ユーザー数からすればごく一部ですが、この事件は「サプライチェーン攻撃」のお手本のような事例です。ユーザーが「公式」と信頼してインストールするソフトウェアの配布経路が、攻撃者によって武器にされ、通常のセキュリティチェックをバイパスしてしまう危険性を、まざまざと示しました。

この攻撃はHolaのソースコードが改ざんされたわけではありません。むしろ、ソフトウェアのビルドからリリースに至るパイプラインの脆弱性を浮き彫りにしました。つまり、開発者がどれほど完璧なコードを書いていても、コンパイルやパッケージ化、配布の段階でたった一度でも工程が侵害されれば、最終製品は容易に“毒入り”になり得るという強烈な教訓です 。

Holaの対応と未解決の謎

Sophos X-Opsからの報告を受け、Holaは脅威の封じ込めと再発防止に乗り出しました。同社が実施した主な対策は以下の通りです。

• 配布パイプラインの根本からの再構築: 攻撃者が残したかもしれない侵入手口を完全に排除するため 。
• コード署名検証の実装: 未署名や未承認のバイナリがビルド工程を通過できないようにブロック 。
• より強固なアクセス制御と継続的な監視: 配布インフラへの侵入を防ぐための仕組みを導入 。

こうした対策が取られた一方で、2026年6月4日の公表時点でも、いくつかの決定的な疑問には答えが出ていません。Holaは未だに、攻撃者が最初にどのようにしてパイプラインに侵入したのかという侵入口、攻撃者の正体、そして侵入していた期間を公表していないのです。フォレンジック調査の全貌は非公開のまま。このことは、ユーザーとセキュリティコミュニティに、強烈な教訓と共に、不完全な脅威認識という不安も残しています 。