インフォスティーラーによる認証情報の窃取が横行、ダークウェブでの売買が加速

背景

PCやブラウザに保存されたパスワード、Cookie、クレジットカード情報などを盗み出す「インフォスティーラー（情報窃取マルウェア）」の感染被害が世界的に拡大しています。これまではシステム破壊を目的とした攻撃が注目されていましたが、近年は「初期侵入ブローカー（IAB：Initial Access Broker）」と呼ばれる攻撃者が、インフォスティーラーを使って認証情報を収集し、それをランサムウェアグループなどの他の犯罪組織に販売する分業体制（犯罪エコシステム）が確立されました。これにより、個人のPC感染が企業のネットワーク全体への侵入につながるケースが急増しており、従来の境界防御だけでは対応しきれない新たな脅威となっています。

実態

インフォスティーラーは、海賊版ソフトウェア、ゲームのチートツール、偽の業務アプリ、あるいはGoogle検索広告を悪用した偽サイト（マルバタイジング）を通じて配布されます。ユーザーがこれらをダウンロード・実行すると、バックグラウンドでブラウザに保存されたID・パスワード、セッションCookie、暗号資産ウォレットの情報、保存されたクレジットカード情報などが即座に窃取され、攻撃者のC2サーバーへ送信されます。特に脅威となっているのは、多要素認証（MFA）を突破するための「セッションハイジャック」です。有効なセッションCookieが盗まれると、攻撃者はIDやパスワード、MFAの入力をスキップしてクラウドサービス（Microsoft 365、Slack、Salesforce、AWSコンソールなど）に直接ログインできてしまいます。盗まれた情報は「ログ」としてまとめられ、ダークウェブ上のマーケットプレイスやTelegramチャンネルで1件数ドル程度の安価で大量販売されており、技術的知識のない攻撃者でも容易にサイバー攻撃の足がかりを入手できる状況が生まれています。代表的なインフォスティーラーには、Redline、Vidar、Raccoon、Aurora、Mars等があり、マルウェア・アズ・ア・サービス（MaaS）として提供されているものも多く存在します。

影響と対策

インフォスティーラー感染の最大のリスクは、本人が気づかないうちに認証情報が流通し、数週間から数ヶ月後にランサムウェア攻撃やデータ漏洩といった甚大な被害が発生することです。対策としては、まず従業員に対し、信頼できないソースからのソフトウェアダウンロードを禁止する教育と、ブラウザへのパスワード保存を避ける運用ルールの徹底が必要です。技術的には、FortiGateやCheck Point製品のWebフィルタリング、IPS機能、アンチマルウェア機能を用いて、C2サーバーへの通信や不正サイトへのアクセスを遮断することが有効です。また、エンドポイント側ではEDR（Endpoint Detection and Response）を導入して不審なプロセスの挙動を検知・駆除し、ネットワーク側ではDNSセキュリティ機能により悪意あるドメインへの通信をブロックすることが推奨されます。認証面では、FIDO2などのフィッシング耐性のある認証方式への移行、条件付きアクセスによる不審な場所・端末からのログインブロック、セッション管理の強化が重要です。さらに、定期的なパスワード変更とセッション無効化、ダークウェブ監視サービスの活用も有効な対策となります。

まとめ

認証情報は現代のサイバー攻撃において「通貨」のような価値を持っています。インフォスティーラーは静かに侵入し、企業の防御壁を無効化する鍵を盗み出します。従来の境界防御モデルでは検知が困難なこの脅威に対し、エンドポイント・ネットワーク・認証基盤の多層防御が不可欠です。PSI社では、ネットワーク製品を中心とした包括的なセキュリティ対策により、情報窃取のライフサイクル全体を断ち切るためのソリューションをご提案いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp