2026年6月4日に公開された Sophos X-Ops の報告によると、同社はAppEsteemのWindows認証アプリケーション・テストに関連する作業のなかで、Hola Browser(バージョン1.251.91.0)に同梱されていた未申告の実行ファイルme.exeを特定した。
me.exeは認証済みコンポーネントとして申告されておらず、コード署名やタイムスタンプがなく、難読化コードとメモリ書き込み機能を備えていた。SophosはこれをPUAとして検出し、別途テレメトリで同一の成果物を捕捉した。このバイナリはXMRigベースのクリプトマイナーとみられ、管理者権限で実行されるとHolaMonitorService.exeを作成し、hola_monitor_svcというサービスを登録する。Sophosの検出名はTroj/GoMiner-Bである。SophosがAppEsteem経由で問題を提起した後、Holaは配信パイプラインを修正した。Holaの最高経営責任者アビ・ラズ・コーエン氏は、独立系企業Sygniaの調査でサプライチェーン侵害と確認され、影響は利用者の0.1%、利用者データの侵害はなかったと回答した。
From: You do surprise me.exe: An unexpected executable in Hola Browser
【編集部解説】
まず押さえておきたいのは、今回の「招かれざる客」が利用者をだまして送り込まれたのではなく、配信の仕組みそのものが侵害されて届けられたという点です。利用者は正規の Hola Browser を入手したつもりでも、配信経路の途中で別の実行ファイルが紛れ込んでいた。これがサプライチェーン侵害と呼ばれる攻撃の本質です。
ここで「サプライチェーン」という言葉に補足が必要でしょう。ソフトウェアは開発環境でビルドされ、パッケージ化され、CDN(世界中に分散した配信網)を経て、ようやく利用者の端末に届きます。今回問題が生じたのは、この「製造から配達まで」の流れのどこかでした。Sophos が鋭いのは、テストのたびに me.exe が出たり出なかったりした事実に着目した点です。インストーラーが一律に書き換わっていれば毎回検出されるはずで、出方にムラがあること自体が、固定的な改ざんではなく、ビルド経路・CDN・リリースパイプライン設定などの差異を強く示唆していました。
クリプトマイナー(暗号資産の採掘プログラム)が狙うのは、あなたのデータではなく、あなたの電気と計算資源です。今回のものは、主にモネロ採掘に用いられる XMRig をベースにしたものとみられ、利用者が席を立ってPCがアイドル状態になったときだけ静かに稼働するよう設計されていました。気づかれにくくする工夫であり、被害者は電気代の増加やPCの発熱・劣化という形で、知らぬ間にコストを肩代わりさせられます。
さらに巧妙なのが、Windows Defender の除外リストに自分を登録し、サービスとして常駐する仕組みです。一度入り込めば検出を回避し、再起動後も生き残る。Sophos が Troj/GoMiner-B として分類したこの挙動は、「気づかれず・消されず・採掘し続ける」という攻撃者の経済合理性を体現しています。
ここで、参照元の Sophos 記事があえて踏み込まなかった文脈を補っておきましょう。Hola は今回が初めての火種ではありません。2015年、同社は子会社 Luminati を通じて、無料利用者の「アイドル帯域」を第三者へ販売していたことが発覚しました。当時、その仕組みが利用規約やFAQで十分に明示されていなかったことが批判を集め、巨大なプロキシ網が画像掲示板8chanへのDoS攻撃に悪用される事態にもつながりました。一連の騒動では約900万規模のIPがブロック対象になったと報じられています。つまり Hola は「利用者の資源を別の誰かのために使う」構造と長く隣り合わせてきた企業なのです。
その背景を踏まえると、今回のクリプトマイニング事案は「外部の攻撃者による単発の不運」とだけ片づけてよいのか、という問いも浮かびます。もちろん、今回は Hola 自身が被害者であり、サプライチェーン侵害として迅速に対処したことは事実です。ただ、利用者の計算資源が知らぬ間に他者の利益のために使われるという構図は、奇しくも同社の過去の論争と重なって見えます。
一方で、innovaTopia が前向きに注目したいのは、これが「どう見つかったか」です。発見は Sophos の偶然ではなく、AppEsteem という認証団体の定期テストという仕組みが機能した成果でした。複数の独立したセキュリティベンダーが認証済み製品を相互に検証し合う。その網に配信経路の異常が引っかかったわけです。
つまりこれは、サプライチェーン攻撃の怖さを示す事例であると同時に、それを防ぐ「業界横断の検証エコシステム」が実際に働いた成功事例でもあります。Hola 側も問題を認め、独立系フォレンジック企業 Sygnia を入れて調査し、パイプラインを再構築しました。深刻化する前に上流で塞がれた着地は、評価に値するでしょう。
ただし留意点もあります。「影響は利用者の0.1%」「データ侵害なし」という数字は、いずれも Hola 側の自己申告に基づくものです。Sygnia の調査がこれを裏付けたとされますが、第三者がこの範囲を完全に独立検証して公表したわけではありません。報道を読む側として、この区別は冷静に保っておきたいところです。
長期的に見れば、この一件は「正規のソフトでも配信経路を信用しきれない時代」を突きつけています。署名されたコンポーネントだけが確実に届く仕組み、ビルドからCDN、端末までを暗号的に検証する「再現可能なビルド」や来歴(プロベナンス)の保証といった技術が、今後ますます流通の前提になっていくはずです。完成品を一度検査して終わりではなく、配信され続ける限り検証し続ける——そうした継続的な信頼の担保こそ、ソフトウェア・エコシステムの新しい常識になっていくでしょう。
【用語解説】
サプライチェーン侵害(Supply Chain Compromise)
ソフトウェアが利用者に届くまでの「製造から配達」の経路(ビルド、パッケージ化、配信網など)のどこかが攻撃者に乗っ取られ、正規の製品に不正なコンポーネントが紛れ込まされる攻撃である。利用者は正規ルートで入手したつもりでも被害に遭う点が厄介だ。
クリプトマイナー(Crypto-miner)
暗号資産(仮想通貨)を採掘するためのプログラムである。本件のように無断で他人の端末に仕込まれた場合、被害者の電力と計算資源を勝手に消費して攻撃者の利益に変える「クリプトジャッキング」となる。
XMRig
暗号資産モネロ(Monero)の採掘に主に用いられるオープンソースのマイニングツールである。本来は正規用途のソフトだが、匿名性の高いモネロと相性がよく、不正マイニングに悪用される代表例として知られる。
PUA(Potentially Unwanted Application/望ましくない可能性のあるアプリケーション)
明確なマルウェアとは断定できないが、利用者にとって望ましくない挙動を示す可能性のあるソフトを指すセキュリティ業界の分類である。本件の me.exe は当初この分類で検出された。
コード署名(Code Signing)
ソフトの配布元が本物であり、改ざんされていないことを暗号技術で証明する仕組みである。署名がないバイナリは出所と完全性が保証されず、本件で疑念を招いた要因の一つとなった。
CDN(Content Delivery Network/コンテンツ配信網)
世界中に分散配置されたサーバー群を通じて、利用者に近い拠点からデータを配信する仕組みである。配信を高速化する一方、経路の一部が汚染されると地域や条件によって配信内容にばらつきが生じうる。
フォレンジック調査(Forensic Investigation)
セキュリティ侵害の発生後、原因・経路・影響範囲を解明するためにデジタル証拠を保全・分析する調査である。本件では Sygnia がこれを担った。
AMTSO(Anti-Malware Testing Standards Organization)
マルウェア対策製品のテスト手法に関する標準づくりを担う国際的な業界団体である。AppEsteem はこの AMTSO の認定を受けた組織だ。
【参考リンク】
Sophos 公式サイト(外部)
ネットワークおよびエンドユーザー向けセキュリティを手がける世界的大手。本件を発見・報告した企業である。
Sophos X-Ops(外部)
SophosLabs、SecOps、Sophos AI などの専門チームを横断的に統合した脅威リサーチの合同タスクフォース。本記事の執筆主体だ。
AppEsteem(外部)
2016年に米ワシントン州ベルビューで設立された、ソフトの挙動を認証・指摘する組織。本件発見の契機となった認証テストを運用する。
AMTSO(Anti-Malware Testing Standards Organization)(外部)
マルウェア対策テストの標準を策定する国際業界団体。AppEsteem を認定している組織である。
Sygnia(外部)
テルアビブ、ニューヨーク、シンガポール、ロンドンなどに拠点を持つインシデント対応・フォレンジックの専門企業。本件で Hola から調査を依頼された。
Hola Browser(公式)(外部)
本件の対象となった Hola Browser の公式ダウンロードページ。提供元はVPN/プロキシ型のサービスを展開している。
【参考記事】
Hola Browser for Windows compromised to deliver cryptominer(BleepingComputer)(外部)
マイナーの挙動を整理し、影響は利用者の約0.1%、データ侵害の証拠なし、パイプラインを完全再構築したとのCEO発言を伝える詳報。
Hola Browser supply chain breach delivered crypto-miner to users(CyberInsider)(外部)
署名・タイムスタンプ欠如など不審点を詳述。Sygnia起用のフォレンジック調査でデータ侵害なしと報じた記事。
Hola Browser Windows Delivery Pipeline Hijacked to Deploy Cryptominer(GBHackers)(外部)
認証済みハッシュと検体を対比し検出名Troj/GoMiner-Bを明記。来歴保証の必要性という教訓を示す技術詳報。
Hola browser supply chain attack delivers cryptocurrency miner(SC Media)(外部)
未署名・難読化・常駐サービス化など要点を簡潔にまとめ、検出されたマイナーがモネロ採掘用だと伝える速報。
If You Are Using Hola VPN, You Need To Know This(TechTimes, 2015年)(外部)
2015年にHolaが子会社Luminati経由で帯域を販売し、その仕組みの不透明さやDoS悪用が批判された経緯を伝える記事。
【編集部後記】
私たちが日々ダウンロードするソフトは、もはや「完成品を一度受け取る」ものではなく、配信され続ける「流れ」の中にあります。今回の Hola Browser の一件は、その流れのどこか一点が汚染されるだけで、正規の入手経路すら信頼の前提を失いうることを示しました。一方で、それを見つけ出したのが特定の一社の手柄ではなく、認証団体と複数のセキュリティベンダーが相互に検証し合う「仕組み」だった点に、私たちは希望を見たいと思います。「Tech for Human Evolution」を掲げる innovaTopia としては、技術を疑うことと信じることのあいだで、読者のみなさんと一緒に確かな手触りを探していけたらと願っています。