Zenn
🦆

Infostealerついて調べてみる

2025/04/03に公開
Security
idea

なぜ作成したのか

  • macnicaさんがInfostealerの解説記事を挙げてくれているので学んでみる

参考

https://security.macnica.co.jp/blog/2025/04/content-1.html
https://www.iij.ad.jp/news/iijnews/vol_184/detail_04.html
https://www.infostealers.com/article/one-in-four-cyberattacks-in-2024-traced-to-infostealers-huntress-reports/
https://cyberscoop.com/infostealers-cybercrime-surged-2024-flashpoint/
https://www.eset.com/blog/business/lumma-stealer-a-fast-growing-infostealer-threat-1/
https://scan.netsecurity.ne.jp/article/2024/10/15/51762.html
https://www.cynet.com/blog/static-analysis-stealc-infostealer/
https://www.kandji.io/blog/amos-macos-stealer-analysis

情報窃取型マルウェア(Infostealer)の脅威と対策

はじめに

  • **Infostealer(情報窃取型マルウェア)**とは、感染した端末からログイン情報や機密データなどを盗み出すマルウェアの総称です。

  • 特に多くのInfostealerはWebブラウザに保存された機微情報(ユーザが入力したログインID・パスワード、クレジットカード情報、Cookieなど)を標的にします。

  • 盗み出した情報は攻撃者によって不正ログインや二次被害に利用されるため、近年その被害が国内外で急増しています。

  • 実際、ある調査では2024年のサイバー攻撃の約24%がInfostealerに関連していたと報告されており、また別の報告によれば2024年に盗まれた認証情報約32億件のうち、約3分の2(21億件)がInfostealerによる窃取だったとされています。

  • このようにInfostealerは現在最も深刻なサイバー脅威の一つであり、企業のシステム管理者にとって無視できない存在となっています。

  • 本レポートでは、Infostealerの動作仕様(感染手口や盗み出す情報、攻撃者への送信方法)を解説し、影響を受ける環境(対象となるOSやアプリ、クラウドサービス、BYOD環境など)を整理します。

  • さらに、具体的な被害事例(最新の国内外の事例)を紹介し、代表的な亜種(Stealc、Lumma、Rhadamanthys、RedLineなど)の特徴と挙動の違いを比較します。

  • 最後に、企業のシステム管理者が理解すべき検知・対策方法(エンドポイント対策、ログ監視、ネットワーク制御、脅威インテリジェンス活用等)について、リストや表を交えて詳述します。

Infostealerの動作仕様

感染経路と侵入手口

  • Infostealerの感染経路は多岐にわたりますが、近年特に目立つのがソーシャルエンジニアリングを悪用した手口です。

  • 例えば、ユーザに偽の「私はロボットではありません(CAPTCHA)」認証ページやソフトウェア更新画面を表示し、そこで不自然に **「クリックしてください」**と誘導することでマルウェア実行を許す手法(通称「ClickFix」攻撃)が報告されています。

  • この攻撃では、ユーザが偽ページでボタンを押すと背後で悪意あるPowerShellスクリプトが実行され、最終的にInfostealer本体がダウンロード・実行されてしまいます。

  • またその他にも、フィッシングメールの添付ファイル(発注書や請求書を装う文書ファイル等)や、改ざんされたソフトウェアのインストーラ(ゲームや有名アプリのクラック版など)、さらにはディスコードやSNS上の誘導リンクなど、さまざまな経路でユーザにマルウェアを実行させる手口が確認されています。

  • 特に近年確認されたキャンペーンでは、偽のCAPTCHAサイトで「認証」に成功したユーザに自動的にInfostealer(例:Lumma Stealer)が配布されたケースもあります。

  • これらのケースに共通するのは、「ユーザ自身に不正プログラムを実行させる」だましのテクニックであり、従来のウイルス感染(脆弱性を突いたドライブバイダウンロード等)と比べても巧妙化しています。

  • 一方、従来型の感染経路も引き続き存在します。典型的には、スパムメールに添付された実行ファイル悪意あるOfficeマクロ経由で端末に侵入したり、Webサイトの広告(マルバタイジング)経由でトロイの木馬としてダウンロードされるケースがあります。

  • また、攻撃者が既にネットワーク内に侵入している場合には、別のマルウェア(ローダー型マルウェアなど)によって後からInfostealerが展開されることもあります。例えば「HijackLoader」と呼ばれるローダーは、感染後に複数種類のInfostealer(RhadamanthysやRedLine等)を投入する機能が確認されています。

窃取される情報の種類

  • Infostealerが盗み出す情報は多岐にわたりますが、もっとも主要なターゲットはWebブラウザ内のデータです。

  • 冒頭で述べた通り、ブラウザに保存されたログインID・パスワード、自動入力フォームの情報、クレジットカード情報、そしてセッションCookieなどは、Infostealerにとって格好の獲物です。

  • ブラウザのユーザプロフィール(Local StateファイルやSQLite形式のデータベース)からこれらを抽出し、復号して入手します。

  • ブラウザ内のCookieは盗まれると第三者による不正アクセスに悪用されるリスクが高く、実際にセッションIDクッキーを窃取して被害者になりすまし、サービスに不正ログインするといった手口が現実に使われています。

  • さらに最近のInfostealerは、仮想通貨関連のデータやウォレットにも照準を合わせています。

  • 暗号資産を管理するウォレットアプリケーションの資格情報や、ブラウザの暗号資産拡張機能(例えばMetaMask等)のデータ、さらにはウォレット復元に使われるシードフレーズ(英単語の組合せ)までも狙います。

  • 実際、「Rhadamanthys Stealer」の最新版(v0.7.0)では画像内の文字をOCR解析してシードフレーズを読み取るという高度な機能が追加されました。

  • これにより、端末に保存されたスクリーンショット等から暗号資産ウォレットの復元パスフレーズを盗み出し、被害者の仮想通貨にアクセスできてしまうのです。

  • Infostealerが狙う情報はそれだけに留まりません。代表的なものを以下にまとめます:

  • ブラウザ保存データ: ログインID、パスワード、Cookie、閲覧履歴、フォーム入力データ、クレジットカード情報など。

  • システム情報: マシンのOS種類、ホスト名、ユーザ名、IPアドレス、インストールソフト一覧、実行中プロセスなど。

  • 電子メール・通信ソフト: メールクライアント(OutlookやThunderbird)のアカウント情報、チャットアプリ(DiscordやTelegram)のトークン・セッション情報等。

  • クラウド/開発関連: 保存されたVPNやRDPの認証情報、FTPクライアントのログイン情報、クラウドサービスのAPIキーやトークン、開発者用の認証ファイル(AWS認証ファイルやSSH鍵など)。

  • その他機密ファイル: ユーザのドキュメントフォルダ等から特定拡張子のファイルを収集(例:テキスト、Office文書、暗号資産ウォレットのキーストアファイルなど)。近年のStealerは攻撃者が盗みたいファイル種別を自由に指定できる仕組みも備えています。

  • このように、Infostealerは認証情報や個人情報、財産的価値のあるデータを幅広く狙います。特に企業環境では、一つの端末から認証情報が漏洩すると社内システム全体への不正アクセスにつながりかねないため、注意が必要です。

攻撃者への情報送信方法(データのエクスフィルトレーション)

  • Infostealerは窃取した情報を攻撃者に送信(エクスフィル)する機能を備えています。

  • 一般的な手法は、インターネット上の攻撃者のサーバ(C2サーバ)に対しHTTP/HTTPS通信で盗んだデータをアップロードするというものです。

  • 例えば新興の「Stealc」というマルウェアでは、感染するとまず攻撃者のC2サーバに接続して被害端末ごとのIDを取得し、ハードウェアIDやマルウェアのビルド情報を送信します。

  • その後C2から指示された設定に従い、ブラウザやウォレットなど各カテゴリのデータ収集を行い、収集した情報を順次C2サーバへPOSTリクエストで送信します。

  • 送信前に取得データを圧縮・暗号化してまとめるものも多く、ネットワーク上では一見ただの暗号化通信(HTTPSのPOST通信など)のように見えるため、検知が難しくなっています。

  • 一部のInfostealerは、独自のプロトコルやクラウドサービスを用いた送信も行います。

  • 例えば盗んだデータをテキストファイルにまとめ、攻撃者が用意したFTP/HTTPサーバにアップロードするものや、TelegramのボットAPIを悪用して盗んだ情報をメッセージ経由で送信するもの、またDiscordのWebhooksを利用してデータを転送するものなどが確認されています。

  • 近年では、盗んだ情報を即座に闇市場に出品するプラットフォームと連携したものもあり、マルウェアが自動的に犯罪フォーラムのAPIにログイン情報を投稿する仕組みを持つケースも報告されています。

  • いずれにせよ、感染からエクスフィルまでは非常に迅速で、ユーザが気付かないうちに重要情報が攻撃者の手に渡ってしまいます。

影響を受ける環境(OS・アプリ・クラウド・BYOD 等)

  • Infostealerの脅威は様々な環境に及びますが、特に以下の領域が影響を受けやすいと考えられます。

  • オペレーティングシステム(OS):

    • 現状、被害の大半はWindows環境で発生しています。
    • Flashpoint社の調査によれば、2024年にInfostealerに感染した約2,300万台のホストの大多数はWindows OSであり、かつそのWindows上の感染の70%近くが企業システムを標的としていたと報告されています。
    • Windows向けのInfostealerファミリー(例:RedLine, Stealc, Lumma等)が非常に多数派であるため、企業で一般的なWindows PCは特にリスクが高いと言えます。
    • 一方、macOSも近年ターゲットになりつつあります。
    • 2023年に初出した「Atomic macOS Stealer (AMOS)」など、Mac上のキーチェーン(パスワード管理)やブラウザデータを盗み出すマルウェアが登場しており、AMOSはキーチェーンのパスワードやユーザ書類、システム情報、Cookie、ブラウザデータ、クレジットカード情報、暗号通貨ウォレットなど幅広いデータを窃取可能と報告されています。
    • これまで「Macはウイルスが少ない」との認識もありましたが、Apple製品の企業利用増加に伴い脅威アクターの関心も高まっているため注意が必要です。
    • またAndroid等のモバイルOSにも情報窃取を狙うスパイウェアやバンキングマルウェアがありますが、一般に「Infostealer」と呼ばれるマルウェアはPC(Windows/Mac)を標的とするものが主流です。

  • アプリケーション:

    • Infostealerの標的となるアプリケーションとして真っ先に挙がるのはWebブラウザです。
    • ChromeやEdge、Firefoxといった主要ブラウザが保存する認証情報・Cookie類は前述の通り格好の攻撃対象です。
    • 加えて、暗号通貨ウォレット関連のアプリケーションやブラウザ拡張(MetaMaskやExodusなど)も頻繁に狙われます。
    • さらに、メールクライアント(Outlook等)やFTPクライアント、VPNクライアントなど、認証情報をローカルに保持するあらゆるアプリが対象となりえます。
    • 近年のInfostealerは、DiscordやTelegramなどのチャットアプリのセッショントークンSteamなどゲームプラットフォームのセッション情報まで窃取リストに含めているものもあります。
    • 要するに、ユーザがPC上で利用する多数のアプリケーションにおけるキャッシュ情報や認証データが漏洩リスクに晒されています。
    • クラウド時代とはいえ、クライアント側に一時保存されるデータを読み取られることでクラウド上のアカウントまで危険に陥るという点が重要です。

  • クラウドサービス:

    • Infostealer自体はエンドポイント(PC上)で動作しますが、その影響はクラウドサービスにも波及します。
    • 典型例として、盗まれた社内システムやSaaSアプリのログイン情報が攻撃者に悪用され、クラウド上のデータに不正アクセスされるケースがあります。
    • 実際、盗まれた認証情報を使って企業のVPNやWebメール、SaaS管理画面に攻撃者がログインし、情報漏えいや二次被害を起こすといったインシデントが数多く報告されています。
    • クラウド上の管理者アカウントが盗まれれば設定の改ざんや追加攻撃(例えばクラウドリソースを使ったさらなる攻撃)も可能になるため、その被害範囲はPC一台に留まりません。
    • 2023年に発生したOkta社(アイデンティティ管理大手)のサポートシステム不正アクセスでは、サポート担当者のアカウント資格情報が漏えいし悪用された可能性が指摘されていますが、これは担当者のPCがInfostealerに感染していたためと同社により発表されています。
    • このようにエンドポイントからクラウドサービスへの 「認証情報の横展開」 が現実に起きており、クラウド環境でもInfostealer対策(間接的な影響も含めた対策)が欠かせません。

  • BYOD環境・個人端末:

    • BYOD(従業員が業務に私物端末を使用する形態)やリモートワーク環境もInfostealerの新たな脅威シナリオを生んでいます。
    • 企業が支給した端末自体はセキュリティ対策が施されていても、従業員が自宅の私物PCで業務アカウントにアクセス・同期をしている場合、その私物PCが狙われるリスクがあります。
    • 実際に、「自宅PCがInfostealerに感染し、そのPCで使っていたブラウザ同期機能を介して会社PC上の認証情報まで盗まれてしまう」というケースが最近増加しています。
    • Chromeなどのブラウザは複数端末間でパスワードや履歴を同期できますが、もし従業員が会社PCと自宅PCで同じGoogleアカウントにログインし同期していた場合、自宅PCの感染により職場PCで保存していたパスワードが漏洩する可能性があります。
    • これは企業内の監視網をすり抜けて情報が漏れることを意味し、非常に厄介です。
    • また、従業員の私物スマートフォンから業務用クラウドサービスにアクセスしている場合、そのスマホがモバイル向けマルウェアに感染するリスクもゼロではありません。
    • BYOD環境ではこうした管理外デバイスが持つ脅威を考慮し、企業アカウントとの接続ポリシーを慎重に設計する必要があります。

最新の具体的な被害事例(2024~2025年)

  • ここでは、2024年から2025年にかけて報告された国内外のInfostealer被害事例をいくつか紹介します。

  • 実際のインシデントから、Infostealer感染がどのような二次被害につながるかを把握することで、リスクの深刻さと対策の必要性を具体的に理解できます。

  • 国内Webサイト改ざん事案(2024年):

    • ある企業のウェブサイトが改ざんされ、不正なコンテンツが埋め込まれる被害が発生しました。
    • 調査の結果、サイト管理に使っていたCMS(コンテンツ管理システム)のログイン資格情報が漏洩していたことが判明しました。
    • 攻撃者は脆弱性を突いた形跡を残しておらず、盗み出した管理者のID・パスワードを使って正規のログイン経路からCMSに不正アクセスし、改ざんを行っていたのです。
    • 漏洩元を辿ると、サイト管理担当者のPCがInfostealerに感染しており、そのPCのブラウザに記憶されていたCMS管理画面のログイン情報が抜き取られていました。
    • この事例では、Infostealer感染(端末)→認証情報漏洩→クラウド上のWebサイト改ざんという形で被害が波及した典型例です。

  • 宿泊予約システムへの不正アクセス事案(2024年):

    • 国内の宿泊施設において、予約者を装った巧妙なフィッシングメールを職員が受信しました。
    • メールの添付ファイルを開いたことで職員PCがInfostealerに感染し、同PCに保存されていた宿泊予約システムの管理画面ログイン情報が窃取されました。
    • 攻撃者はそれを用いて予約システムに正規ログインし、システム上に登録されていた宿泊客の連絡先にフィッシングメッセージを大量送信するという二次攻撃を行いました。
    • これにより宿泊客にも被害が拡大し、企業の信用失墜にもつながる結果となりました。
    • こちらも、端末上の認証情報流出が直接にサービス悪用や情報漏えいへと発展したケースです。

  • Oktaサポートシステム不正アクセス(2023年):

    • アイデンティティ管理サービス大手のOkta社は、2023年に自社のサポートケース管理システムへの不正アクセスを公表しました。
    • 原因究明の結果、担当サポートエンジニアのアカウント資格情報(パスワード等)が漏洩・悪用された可能性が高いことが判明しています。
    • 同社は公式に「個人の端末がInfostealerに感染したことで認証情報が盗まれ、不正アクセスに使われた可能性」に言及しており、実際にInfostealer由来の情報漏洩が大企業の重要システム侵害に直結した例として注目されました。
    • このケースでは二要素認証も設定されていましたが、攻撃者はおそらく有効なセッショントークン(Cookie)を入手しており、追加認証なしで正規ユーザになりすましていたと推測されています。

  • 国外公共交通機関への攻撃(2024年):

    • 英国ロンドンの公共交通機関(ロンドン交通局, TfL)が2024年にサイバー攻撃を受けたとの報道がありました。
    • 詳細は明らかにされていませんが、背景に財政難がある中での攻撃とされ、Infostealer等による認証情報窃取から始まった可能性も指摘されています(攻撃の全容解明は継続中)。
    • 公共インフラにおいても同様の手口が利用されうることを示唆するケースです。

  • 大量資格情報の流出(継続的事例):

    • 個別企業の事例ではありませんが、情報窃取マルウェアによる世界的な資格情報流出は年々深刻化しています。
    • サイバーセキュリティ企業の調査では、2024年を通じてInfostealerにより流出したアカウント認証情報は延べ数億件にのぼり、闇市場で売買されたとの報告があります。
    • 特に犯罪フォーラム上では、Infostealerが盗み出した企業アカウント(メールやVPN、SaaSアカウント)のパスワードやCookieが大量に出回っており、それらがランサムウェア攻撃や企業ネットワーク侵入の踏み台として利用されるケースが後を絶ちません。
    • 例えば、とある大手防衛企業では従業員多数がInfostealerに感染し社用資格情報が漏洩、結果として機密ネットワークへのサイバー攻撃の契機になったとの分析もあります。
    • このように単発の事件だけでなく、日常的に世界中でInfostealer感染→情報売買→不正アクセスというサイクルが発生している実態があります。

  • 以上の事例から、Infostealer感染は一見気付きにくいものの、その後に企業ウェブサイトの改ざん社内システムへの不正侵入顧客への二次攻撃、さらには国家規模のセキュリティ事故にまで繋がりうることが分かります。

  • 特に昨今は「初期侵入にInfostealerを使い、盗んだ情報をもとに本格的な攻撃に移行する」流れが一般化しており、Infostealerは現代のサイバー攻撃の重要なピースとなっています。

代表的なInfostealerファミリと亜種の比較

  • Infostealerには数多くの亜種・マルウェアファミリが存在しますが、ここでは代表的なものとして RedLine Stealer, Stealc, Lumma Stealer, Rhadamanthys Stealer の特徴を比較します。
  • それぞれ開発時期や機能に違いがあり、攻撃手法や狙いにも微妙な差異があります。以下に各マルウェアの概要を表形式でまとめ、その後ポイントを解説します。
マルウェア名 初出時期 主な特徴・機能 備考
RedLine Stealer
(レッドライン)		 2019~2020年頃
(登場)		 - ブラウザの保存パスワード、Cookie、クレジットカード情報、自動入力データなどを幅広く窃取
- 暗号通貨ウォレットやVPNクライアント、FTPクライアントの資格情報も対象
- 一般に安価(数百ドル以下)で闇市場フォーラムにて販売され、犯罪者間で広く普及		 古参の情報窃取マルウェア。安定した人気で「業界標準」の一つ。低価格ゆえにスクリプトキディから犯罪組織まで幅広く使用。
Stealc
(スティークル)		 2023年初頭
(登場)		 - VidarやRaccoon、Mars、RedLine等のコードをベースに開発された新興のMaaS型Infostealer
- ブラウザデータや暗号通貨ウォレット(ブラウザ拡張・デスクトップ両方)、OutlookやTelegramのアカウントデータまで窃取可能
- 攻撃者が盗みたいデータ種類をカスタマイズ可能(設定次第で任意のファイルも収集)
- C2パネルを提供し、多数の攻撃者が即利用できる体制		 2023年に急増。複数の既存Stealerの機能を取り込み強化した設計。攻撃者フォーラムで人気となり、Raccoon Stealerの後継的存在とも。
Lumma Stealer
(ルンマ / LummaC2)		 2022年8月頃
(登場)		 - C言語で実装されたMaaS型Infostealer。機能の豊富さと更新の早さが特徴
- 暗号通貨ウォレット、ブラウザ資格情報、Cookieに加え、二要素認証用ブラウザ拡張のデータも窃取対象
- 攻撃者向けダッシュボード「LummaC2」を通じて盗んだデータを確認・悪用可能
- 検知数が2024年上半期から下半期にかけて369%増加するなど感染拡大		 価格は月額数百ドル規模~ソースコード購入2万ドルと高額だが、多機能ゆえ犯罪グループに人気。偽CAPTCHAサイト経由など巧妙な配布事例あり。
Rhadamanthys Stealer
(ラダマンティス)		 2022年頃
(登場)		 - C++製の高度なInfostealer。銀行木馬系マルウェアに近い洗練度
- ブラウザデータやウォレット情報の窃取はもちろん、OCRによる画像内テキスト抽出(シードフレーズ窃取)機能を実装するなど最新技術の取り込みが早い
- サンドボックス回避や検知回避のテクニックも積極的に導入(API呼び出しの直接実行=Raw syscall化 等)
- 主にメールの添付やネット広告経由のダウンロードで拡散。特定地域・業種を狙うキャンペーンも確認		 攻撃者コミュニティでの評価が高い高機能Stealer。開発・販売者が継続的にバージョンアップを重ねており、v0.7ではAI活用まで実装。他のStealerに比べ価格や入手ハードルが高く、組織的な攻撃で使われる傾向。
  • 補足:
    • 上記以外にも、かつて流行したRaccoon Stealer(ラクーン、2022年一時開発者逮捕も新バージョンが出回り再興)や、VidarFormbook(xLoader)BlackGuardAgent Teslaなど多数の情報窃取型マルウェアファミリが存在します。
    • それぞれ細かな違いはありますが、基本的な動作原理は類似しており、**「ログイン情報・個人情報を盗んで攻撃者に送信する」**という点は共通しています。
    • 近年特筆すべき傾向としては、これらマルウェアが**マルウェア・アズ・サービス(MaaS)**として提供されるケースが増えたことです。
    • つまり、開発者が闇市場でマルウェアを貸し出し、顧客(攻撃者)がそれを使って犯行に及ぶビジネスモデルです。
    • このモデルにより、技術力の低い犯罪者でも高度なInfostealerを利用可能となり、結果として攻撃の拡散と高度化が加速しています。
    • また、犯罪組織の資金力も背景にあり、新たなセキュリティ対策(後述のApp-Bound Encryptionなど)が登場しても極めて短期間で回避手法を開発・導入してくる点も脅威です。
    • 現に、Chromeブラウザが2024年にCookie盗難対策の機能を入れた際も、わずか2ヶ月後にはいくつかのInfostealerがその抜け道を見つけ実装してしまいました。
    • こうした亜種間競争と技術革新の速さも、Infostealerの脅威を語る上で押さえておくべきポイントです。

システム管理者がとるべき検知・対策方法

  • 最後に、企業のシステム管理者向けにInfostealerへの検知・対策方法を解説します。万能の防御策は存在しませんが、複数の対策を組み合わせて実施することでリスクを大幅に低減できます。
  • ここでは「予防」と「検知・被害軽減」の観点に分け、それぞれ重要なポイントをまとめます。

予防対策(感染させない・盗ませないために)

  • ユーザ教育の徹底:

    • 不審なファイルやリンクを安易に開かないよう社員教育を徹底します。
    • 特にメールの添付ファイルや、Web上の怪しいダウンロード(割引ソフトやライセンス回避ツールなど)を実行しないよう日頃から啓発してください。
    • 巧妙な手口(偽のCAPTCHA画面等)についても周知し、少しでも違和感を覚えたら業務IT部門に確認させる風土を作ります。

  • エンドポイントセキュリティの強化:

    • 社給PCには必ず**エンドポイント保護ソフト(ウイルス対策・EDR)**を導入し、最新の定義や検知ロジックにアップデートしておきます。
    • EDR製品はInfostealerの挙動(例:ブラウザの保管データに大量アクセス後、外部通信)を検知するルールが用意されていることが多いため、有効活用してください。
    • また、WindowsではAppLockerやWDACなどで不審な実行ファイルを実行させないホワイトリスト運用も有効です。
    • PowerShellの実行ポリシーを制限しスクリプト実行を基本禁止にしておくことも、「ClickFix」型攻撃対策になります。

  • システムとソフトウェアの最新化:

    • OSやブラウザ、各種ソフトを常に最新バージョンに維持し、既知の脆弱性を塞いでおきます。特にブラウザは**最新のセキュリティ機能(例:ChromeのApp-Bound Encryptionなど)**が有効になるため、アップデートを怠らないことが大切です。
    • 実際、Chromeでは2025年にリモートデバッグ機能悪用の抜け道を塞ぐ更新が予定されており、最新版への更新がInfostealerの新たな手口封じにつながる可能性があります。

  • 機密情報の保存制限:

    • 極力端末上に機密情報を残さない運用も有効です。
    • 例えば金融取引や重要なクラウド管理コンソールにアクセスする際はブラウザのシークレットモード(プライベートブラウジング)を利用し、認証情報やCookieをローカルに保存しないようにします。
    • またブラウザにパスワードを記憶させないよう社内ポリシーで設定し、代わりに信頼性の高いサードパーティ製パスワードマネージャを使用するといった対策も検討できます。
    • パスワードマネージャはマスターパスワードや生体認証で保護されており、仮に端末が侵害されても直接内部のパスワードデータを取り出されにくくなっています。

  • 多要素認証(MFA)の導入:

    • 社内の重要システムやクラウドサービスには**パスワード以外の第二要素(2FA/多要素認証)**を必須にします。
    • これにより、仮にID・パスワードがInfostealerに盗まれても、それだけでは攻撃者はログインできなくなります。
    • ただし、前述のOkta例のようにセッションCookieが盗まれた場合はMFAを迂回される恐れがあるため、定期的なログアウトやセッション期限の設定もあわせて行いましょう。
    • 重要システム利用後にユーザにログアウトを促すことは被害軽減に有効です。

  • 業務データと個人データの分離:

    • ブラウザの同期機能を業務用途と個人用途で混在させないようにします。
    • 従業員には、会社支給端末のブラウザに私用のアカウントでログインさせない・同期させないよう教育します。
    • また必要に応じて、GPOやMDMツールでブラウザの同期やクラウドログイン機能を無効化することも検討します。
    • 併せて、私物端末から社内システムへのアクセスを極力させない(または私物端末にはMDMを適用し一定のセキュリティ確保する)といったBYODポリシー整備も重要です。

検知・被害軽減策(感染を早期に発見し、被害を最小化するために)

  • ログ監視とアラート:

    • SIEMやログ管理ツールを用いて、エンドポイントおよびネットワークのログを集中的に監視します。
    • 特に端末上のプロセス実行ログやWindowsイベントログ(例:PowerShellの実行イベント、ブラウザの保護ストレージへのアクセスログなど)に異常がないかチェックします。
    • 不審なプロセスによる大量のファイルアクセスや外部通信が検出された場合、Infostealer感染を疑い素早く端末を隔離するような運用を決めておきます。
    • また、社内システムの認証ログも監視し、通常ありえないユーザエージェントやIPによるアクセスが発生していないか(攻撃者がセッション乗っ取りした場合などの兆候)を探知します。
    • 例えば深夜帯に海外IPからVPNログイン試行があれば即アラートを上げる、といったルールが有効です。

  • ネットワーク上での検知と遮断:

    • ネットワークレベルでも、Infostealerのエクスフィル通信を捉えて遮断する仕組みを導入します。
    • 具体的には、次世代ファイアウォール(NGFW)やIDS/IPSで既知のC2サーバのドメイン・IPへの通信をブロックしたり、DNSフィルタリングでマルウェア関連ドメインへの名前解決を遮断したりします。
    • またProxyサーバ経由のWeb通信については、HTTPのPOSTリクエスト容量暗号化通信の急激な増加などを監視し、平常時と異なる大量データのアップロード挙動を検知したら管理者に通知する仕組みも有用です。
    • もっとも近年のInfostealer通信は正規のクラウドサービス経由や暗号化も多いため完全な検知は難しいですが、「ローカルPCから普段アクセスしない先(例えばロシアやその他地域の不審なホスト)への通信」を可視化・警告するだけでも早期発見につながります。

  • 侵入前提の対策(ゼロトラスト的アプローチ):

    • Infostealerによる情報漏えいリスクを前提として、被害を最小限に抑える設計を行います。
    • 例えば、仮に社内のある認証情報が漏れてしまってもすぐには重大被害に直結しないよう、権限の最小化(Least Privilege)ネットワークのセグメント分離を徹底します。
    • 重要システムへのアクセスには再認証や追加の多要素認証を要求する条件付きアクセスを設定し、セッションハイジャックされにくくする工夫も考えられます。
    • また、漏洩した認証情報が第三者により不正利用されていないかをチェックする異常ログイン検知アカウントロックの仕組みも有効です。
    • 管理者は「既にネットワーク内部に攻撃者が入り込んでいるかもしれない」という心構えで、常に認証情報の流出や悪用を想定した防御層を築くことが重要です。

  • 脅威インテリジェンスの活用:

    • 外部の脅威情報を活用し、自社に関連する漏えい情報をいち早く把握します。
    • 例えば、Infostealerに感染して漏えいした社員のアカウント情報やパスワードがダークウェブ上で出回っていないか定期的にチェックします。
    • 近年はセキュリティベンダーが提供する「漏えいアカウント検知サービス」 や、スレットインテリジェンスフィードによって、闇市で売買されるスティーラーのログ情報をモニタすることが可能です。
    • 自社のメールドメインや社名キーワードでそうした情報を監視し、もし該当する認証情報が見つかった場合は直ちにパスワードリセットや該当アカウントの利用停止など緊急対応を行います。
    • このように攻撃者側の動きを逆手に取って早期に察知することが、被害を未然に防ぐ上で極めて有効です。

  • 専門チーム・サービスの活用:

    • 自社内での監視が難しい場合、**マネージドな監視サービス(SOCサービス)**の利用も検討に値します。
    • 専門家が24時間365日体制でネットワークや端末の異常を監視し、Infostealerの感染兆候や漏えい兆候を捉えて通知・対応してくれるサービスがあります。
    • 特にリソースの限られる中小企業ではこうした外部サービスの活用によって、最新脅威にも迅速に対処できる体制を整えることができます。

  • 以上、予防から検知・対応まで幅広く対策を述べましたが、重要なのは複数の防御策を重ね合わせることです。

  • 単一の設定やツールではInfostealerによるデータ窃取を100%防ぐのは難しいのが実情ですが、幸いにも有効な対策は数多く存在します。

  • 感染自体をブロックする一次防御、漏えいを減らす工夫、そして漏えい時に速やかに気付き対処する仕組みを組み合わせることで、被害リスクを大幅に下げることが可能です。

おわりに

  • 情報窃取型マルウェア(Infostealer)は、日々進化し巧妙化しながら企業や個人の重要情報を狙っています。
  • しかし、防御側もブラウザのセキュリティ機能強化や包括的なセキュリティ運用によって対抗する手段を持ち始めています。本レポートで解説した動作原理や事例、亜種の特徴、そして検知・対策のポイントを踏まえ、ぜひ自社システムの安全性を見直してみてください。
  • 適切な対策を講じることで、Infostealerから重要データを守り、被害発生時にも迅速に対応できる体制を整えることができます。
  • 脅威インテリジェンスの活用や最新動向のウォッチも続けつつ、社内外の情報資産を守る防衛策を強化していきましょう。

所感

  • 目新しい対策があるわけじゃなく、基礎的な対策を重ねて、地道に、徹底していくことが肝要ということ
GitHubで編集を提案

Discussion

ログインするとコメントできます