McAfee Labs は、WeedHack という大規模なマルウェア 攻撃キャンペーンが進行中であることを確認しています。「Minecraft」の無料 MOD やゲーム クライアントに偽装して、プレイヤーのコンピューターに感染するマルウェアです。2026 年 1 月以降、11 万 6000 件以上の被害が記録されており、新たな被害者も毎日平均 2,000~3,000 人ずつ増えています。
WeedHack が並のマルウェアと一線を画しているのは、利用するときの手軽さと安さです。
通常、アンダーグラウンドの犯罪者ネットワークを通じて攻撃ツールを利用するには、毎月数百ドルかかります。WeedHack は、Discord のアカウントがあってインターネットに接続さえできれば誰にでも、無料バージョンを提供しているのです。プレミアム版にアップグレードすると、被害者のウェブカメラを通じてその様子を盗み見る機能も使えるようになりますが、それでさえ月額 5 ドルからで利用できます。
ここまでハードルが下がったため、若年層が興味を引かれて攻撃に手を染めるようになっており、その多くはティーンやヤングアダルト世代と見られています。マカフィーの研究者が衝撃を受けたのは、ティーンが格安ツールを金銭的な動機で使っているだけでなく、同級生に対するいやがらせやいじめにも利用していることです。マカフィーがすでに文書にしているとおり、この攻撃キャンペーンではこのパターンが特に懸念されています。
マカフィーをお使いのお客様には朗報もあります。マカフィーのウェブ保護は WeedHack を配布するサイトを積極的にブロックしており、Threat Explainer では警告表示されたファイルが危険な理由をわかりやすく説明します。危険性がひと目でわかるため、判断に迷うことがありません。
ひと目でわかる主要なデータ
| 項目 | 詳細 |
| 攻撃キャンペーン名 | WeedHack |
| 活動開始時期 | 2026 年 1 月 |
| 確認された被害者総数 | 116,464 人以上 |
| 1 日あたりの感染者増加数 | 約 2,000~3,000 人 |
| 悪意のあるファイルの検出数 | 3,820 以上 (重複を除く) |
| 悪意のあるダウンロード URL | 240 以上 |
| 無料版の公開 | ありだれでも登録可能 |
| プレミアム価格 | 月額 5 ドルから。買い切り版 24.99 ドル |
| 標的になる層 | 全世界の Minecraft プレイヤー |
| 特に被害の多い国 | 米国、次いでドイツ、インド、英国、イタリア、その他 |
| 攻撃者がアクセスできる対象 | インストールされると、パスワードの盗難やアカウントの乗っ取りが発生。さらに課金している攻撃者は、被害者の画面、ウェブカメラ、ファイルにまでリアルタイムでアクセスしてくる。 |
| 金銭的な被害 | Discord のトークン、暗号資産ウォレットの認証情報、Minecraft アカウントの認証情報が盗まれる可能性がある。
ハッカーはユーザーの情報を人質にとり、データと交換で大金を要求する。 |
マカフィーのチームによる詳細なレポートはこちらから読めます。
WeedHack とは
WeedHack は MaaS (サービスとしてのマルウェア) 攻撃キャンペーンのひとつです。つまり、通常のソフトウェア企業がサービスをサブスクリプションとして販売するのと同様に、ハッキング ツールを顧客に販売している犯罪ビジネスです。
「商品」はマルウェアであり、Minecraft の MOD やクライアントだと思ってダウンロードした被害者のコンピューターにそれがひそかにインストールされます。インストールされると、パスワードの盗難やアカウントの乗っ取りが発生。さらに課金している攻撃者は、被害者の画面、ウェブカメラ、ファイルにまでリアルタイムでアクセスしてきます。
この攻撃キャンペーンでは、ダーク ウェブではなく一般のインターネット上で、本物のサービスのように見える洗練されたダッシュボードを堂々と公開しています。顧客はこのダッシュボードを使って、被害者を追跡する、盗み出したデータをダウンロードする、リモート アクセス機能を実行するなど、すべてをブラウザーから実行できます。
WeedHack でサブスクリプションを購入するところ。
サイバーいじめという問題
マカフィーの調査で判明した事実のなかでもとりわけ深刻な問題は、WeedHack の利用実態です。
この攻撃キャンペーンの Telegram チャネルには、調査を実施した時点で 850 人以上のメンバーがいました。そのチャネルを監視した結果、顧客の多くはティーンやヤングアダルト世代であるらしいことが判明しました。しかも、その大部分が金銭的な目的ではなく、他のプレイヤーに対するいやがらせや脅しを目的としてリモート アクセス ツールを使っているのです。
攻撃者が、断りなくウェブカメラで被害者を撮影し、まるで戦利品のようにその録画を Telegram チャネルで公開していることもわかりました。そのほか、被害者の IP アドレスやシステム アクセスに関する情報を脅迫に利用していたケースもあります。
ただし、このブログの公開時点で、この Telegram チャネルは閉鎖されており、代替チャネルも出現していません。攻撃者が、今後のコミュニケーション手段として新しいチャネルを作成する可能性もあるため、マカフィーは引き続き監視を続けています。
とはいうものの、私たちが確認したのは、プライバシーを深く侵害するツールを利用したサイバーいじめです。皆さんやお子さんに対して、コンピューターをハッキングしたとか、ウェブカメラで録画した、IP アドレス情報を入手したと称する何者かがオンラインで接触してきた場合は、真剣に受け止めましょう。
実際に攻撃を受けた場合の対処法:
- 攻撃者の指示には決して従わない。言うことを聞いてしまうと、事態は悪化します。
- ただちに、信頼できる大人 (親、保護者、学校のカウンセラーなど) に相談する。
- 警察に連絡する。犯罪行為に該当する可能性があるからです。
- 攻撃者には決して関わらず、交渉も試みない。
マカフィーが発見した Telegram チャネル。
感染する経緯
WeedHack の拡散方法は主に 2 つあり、この攻撃キャンペーンでは実行方法について、ステップバイステップのチュートリアルまで顧客に用意しています。
- YouTube フェイク動画を作成する
攻撃者は、Minecraft のクライアントや MOD をレビューしたり実演したりする本物らしい動画を YouTube で作成します。
動画の作りは巧妙で、ボイスオーバーのナレーションが付いていたり、概要欄やコメント欄に悪意のあるダウンロード サイトへのリンクが示されていたりします。
マカフィーが特定したある動画は、危険なコンテンツとして検知された時点で、すでに 7,500 回以上も再生されていました。コメントのなかには、攻撃者自身がこのファイルは安全だと投稿しているケースも見られます。
- 偽の MOD ウェブサイト
WeedHack は、Minecraft の公式 MOD ページを模倣した本物そっくりのウェブサイトを構築するよう顧客に指示しています。こうした偽サイトは、人気の高い MOD 名を検索したとき結果リストの上位に表示されるよう故意に設計されています。いわゆる、SEO ポイズニングという手口です。
偽サイトのなかには、正規のサイトに見せかけるために、偽のセキュリティ警告、 Discord のリンク、GitHub への参照を掲載しているものもあります。なかには、「ダウンロードは必ずここから」とプレイヤーに警告しつつ、マルウェアを次々と配布しているサイトもありました。
狙われた Minecraft のクライアントや MOD を具体的に挙げると、Meteor Client、Radium Client、Wurst Client、LiquidBounce、Impact Client、Future Client などです。
悪意のあるリンクを説明文の中に隠している動画の例。
感染の際に起こること
感染は 4 段階で進みます。被害者がダウンロード ファイルを開いた後、ひそかに進行します。
第 1 段階―ファースト コンタクト:悪意のあるファイルがひそかに (コンソール ウィンドウを表示せずに) 起動し、隠れたネットワークに接続したうえで、リモート サービスに接続して後続の指示を待ちます。イーサリアムのブロックチェーンを利用した高度な手法により、自身のコマンド サーバーを特定します。この仕組みはブロックや停止が困難です。
第 2 段階―足場固め:マルウェアは Windows Defender による保護機能を無効化し、被害者のコンピューターに関する詳細な情報 (プロセッサー、グラフィック カード、RAM、オペレーティング システムなど) を収集して、画面のスクリーンショットを撮影します。次に、Discord トークンと、ブラウザーのパスワードおよび Cookie を盗み出します。マカフィーをお使いであれば、この段階でウェブ保護が機能して、ユーザーがサイトにアクセスするのを防ぎます。ウイルス対策機能により、ダウンロードされたマルウェアが足場を固めるのも阻止されます。
第 3 段階―侵入:マルウェアが自身をインストールし、被害者がコンピューターにログインするたびに自動的に起動されるように設定します。継続的に実行される隠しスケジュール タスクを設定します。場合によっては、最高レベルのシステム権限で実行されます。
第 4 段階―フルアクセス:プレミアム ユーザーの場合、攻撃者が被害者のコンピューターにリアルタイムで接続できるようにする追加コンポーネントもインストールされます。これには、キーボードとマウスで制御されるライブ スクリーン共有、ウェブカメラへのアクセス、キーロギング (キー ストロークを逐一記録する)、リバース シェル (コンピューターに対する完全なコマンドライン アクセス)、任意のファイルのアップロード/ダウンロードといった機能があります。
別のコンポーネントは、Telegram の認証情報と暗号資産ウォレットを狙って探し出し、そのデータを 5 分ごとに別のサーバーに送信します。
感染するとどうなるか
マカフィーのガイド記事「迅速なマルウェアの削除方法 2026 年版」を参照してください。
攻撃者が盗む情報とは
無料版では、次の情報が窃取できます。
- Minecraft のセッション ID (Minecraft アカウントの乗っ取りに利用)
- 36 種類のブラウザに保存されたパスワードと Cookie
- Discord、Steam、Telegram の認証情報
- ブラウザベースの暗号資産ウォレット (56 種類に対応) 、デスクトップ版暗号資産ウォレット (12 種類に対応)
- ファイル (24 種類の検索キーワードに一致したもの)
- 被害者の画面のスクリーンショット
- システム情報 (コンピューター名、IP アドレス、ハードウェア仕様)
有料版では、次の機能も利用できます。
- ウェブカメラへのリアルタイムアクセス
- キーボード・マウス操作を伴うリアルタイムの画面共有
- キーロギング (被害者がキー入力するすべての入力内容)
- フルリモートシェル (コマンドラインによるコンピューターの完全な操作)
- ファイル管理 (リモートでのファイルのアップロード、ダウンロード、削除)
保護者が知っておくべきこと
Minecraft の MOD エコシステムは膨大でほとんど規制されていません。子どもはパフォーマンスを向上させるクライアントや、見た目を変える MOD、ゲームのチート機能などを求めて、日常的に YouTube や Google で検索しています。WeedHack はこうしたものをまさに悪用します。
ご家庭で実践できる対策を以下にまとめました。
| 危険なサイン | ✅ 安全対策 |
| MOD が開発者の公式サイトに掲載されていない | CurseForge、Modrinth、MOD の認証済み GitHub からのみダウンロードする |
| サイトや動画が、ファイルを実行するためにウイルス対策ソフトを無効にするよう指示してくる | ゲームの MOD のためにウイルス対策ソフトを無効にしないでください。正規の MOD がそのような指示をすることはありません |
| 聞いたこともないサイトが「唯一の公式」配布元を名乗っている | サイトが公式だと確認できない場合は、ダウンロードしないでください |
| ダウンロードリンクが YouTube のコメント欄にある | コメント欄のリンクは必ず危険なサインだと思ってください |
| ウイルス対策ソフトはマルウェアと検知しているのに、ファイルは「誤検知なので無視してください」と言ってくる | マカフィーの Threat Explainer を使って、悪質な特徴を確認しましょう。ウイルス対策ソフトを無効にしないでください |
ご家族を守るために保護者ができるおすすめの対策は、マカフィーの受賞歴を誇るウイルス対策やウェブ保護です。これらは WeedHack のような脅威を検知し、デバイスが侵害される前に悪質なダウンロードをブロックできるよう特別に設計されています。
実際にマカフィーで保護できるのか
マカフィーは WeedHack のサンプルを積極的に追跡しており、この脅威を次の検知シグネチャで検知します。
- Trojan:Win/Weedhack.AA ~ Trojan:Win/Weedhack.AE
マカフィーは WeedHack のような脅威に対して、何重もの保護を提供します。
- ウェブ保護 感染した Minecraft の MOD を配布する悪質なウェブサイトへのアクセスをブロックし、ファイルがダウンロードされる前に脅威を食い止めます。
- 受賞歴を誇るウイルス対策 万一悪質なファイルがデバイスに侵入した場合でも、マルウェアを検知してブロックします。
- Threat Explainer ファイルが検知された理由を的確に示すため、何が起きたかを理解し、今後同様の詐欺を避けやすくなります。
こうした保護機能が連携して、危険なダウンロードを未然にブロック。侵入したマルウェアを食い止め、さらに今後注意すべき点を説明します。
McAfee Labs は引き続きWeedHack を監視し、新たなサンプルやドメインが確認され次第、検知対応を更新します。侵害指標 (IOC ) を含む詳細な技術レポートは、McAfee Labs の分析を参照してください。
主な用語解説
| 用語 | 意味 |
| MaaS (Malware as a Service、サービスとしてのマルウェア) | 犯罪者のビジネスモデルで、攻撃ツールを他者に販売・レンタルする。ソフトウェアのサブスクリプションと同じような仕組み |
| リモート アクセス型トロイの木馬 (Remote Access Trojan、RAT) | 攻撃者に被害者デバイスの遠隔操作権限を与えるマルウェア。画面、ファイル、カメラなどを操作できる |
| インフォスティーラー (情報窃取型マルウェア) | パスワード、Cookie、アカウント認証情報をひそかに収集・送信するために作られたマルウェア |
| SEO ポイズニング | 検索エンジンの結果を操作し、正規の製品を検索した人の目に悪質なウェブサイトが上位に表示されるように仕向ける手口 |
| Minecraft のクライアントや MOD | Minecraft のゲーム体験を変更・拡張するサードパーティ製ソフトウェア。多くは正規のものだが、WeedHack はこれになりすます |
| Minecraft セッション ID | Minecraft にログイン済みであることを証明するトークン。盗まれると、攻撃者はパスワードなしでアカウントを乗っ取れる |
| キーロガー | ユーザーがデバイスに入力した内容をひそかに記録するソフトウェア。パスワード、メッセージ、検索語句なども含まれる |
| リバース シェル | 被害者のコンピューターから攻撃者に向けて行う接続。攻撃者にコマンドラインの完全な操作権限を与える |
| イーサハイディング | マルウェアのサーバーアドレスを Ethereum ブロックチェーン内に隠す手法。サーバーのブロックが非常に困難になる |
| Discord トークン | この認証情報で Discord アカウントへのアクセスが可能になる。盗まれると、攻撃者はパスワードなしでアカウントに完全にアクセスできる |
最新情報を入手する
フォローして、マカフィーに関する最新情報を取得して消費者やモバイルのセキュリティ脅威について理解しましょう
