スマートフォンやパソコンに侵入して悪意ある動きをするマルウェアには、様々な種類があります。中でも近年では、感染したデバイスから情報を窃取するタイプのマルウェアである「インフォスティーラー」による被害が年々急増しています。
インフォスティーラーは、感染したデバイスに保存されている認証情報や個人情報、アプリデータなど、さまざまな情報を収集し、不正に利用する危険なマルウェアです。
今回はインフォスティーラーの特徴や侵入経路、被害に遭わないための対策について解説します。
まず、インフォスティーラーの特徴や侵入経路について分かりやすく解説します。
インフォスティーラー(Infostealer)とは、Information Stealerの略のことで、日本語では「情報窃取マルウェア」と呼ばれています。感染したデバイスからパスワード・メールアドレスといったログイン情報、クレジットカード・銀行口座といった金融情報、個人情報、キーロガー(キー入力)・画像のキャプチャ・ブラウザ情報といった行動履歴、システム内部のデータなど、多岐にわたる重要な情報を窃取するマルウェアです。
インフォスティーラーがデバイスにダウンロードされると、デバイス内のあらゆる情報が攻撃者のサーバーへ送信されます。そこから攻撃者は送信された大量のデータを分析し、ログイン情報、APIキー、Cookie情報など、悪用可能な情報を収集します。
インフォスティーラーの最大の特徴は、『多岐にわたる情報を収集し、悪用する』点です。収集された情報は、不正ログインによる送金など直接的な悪用や、ダークウェブ上で他の攻撃者への販売など、さまざまな方法で悪用されます。
また、インフォスティーラーは難読化や検出回避技術に長けているため、セキュリティソフトによる発見が難しく、一度感染すると長期的に様々な機密情報を窃取し続ける非常に悪質なマルウェアです。
インフォスティーラーは、フィッシングメール、偽のダウンロードサイト、マルスパム(悪意のあるスパムメール)、マルバタイジング(悪意のある広告)、悪性ブラウザ拡張機能、ソフトウェアの脆弱性など、多岐にわたる経路で侵入します。そして、多くの場合ユーザーが気づかないうちに感染が完了しています。
また、多要素認証消耗攻撃(MFA fatigue attacks)のようなソーシャルエンジニアリングの手法やトロイの木馬などの他のマルウェアと組み合わせて利用されるケースもあります。
< トロイの木馬の関連記事はこちら >
次に、主なインフォスティ―ラーの種類について解説します。
2020年に登場して以降、広く普及しているインフォスティーラーで、多岐にわたる個人情報やシステム情報を窃取します。具体的には、ウェブブラウザに保存されたアカウント情報やクレジットカード情報、自動入力データ、仮想通貨(暗号通貨)ウォレット情報、VPNクライアント、FTPクライアントの認証情報などを標的とします。また、ダークウェブ上で*MaaS(Malware-as-a-Service)として販売されており、高度な技術的知識やプログラミングスキルがない攻撃者であっても容易にマルウェアを入手し、悪用することが可能です。
*MaaS
サイバー犯罪者が開発したマルウェアをサービスとして他の攻撃者に提供するビジネスモデルのこと。
<ダークウェブの関連記事はこちら>
Windowsシステムに感染し、内部データを窃取するインフォスティーラーです。このマルウェアはフィッシングメールなどを経由して感染し、アプリやウェブブラウザを通じて資格情報やメールアドレス、銀行口座情報、クレジットカード情報などを窃取します。また、2023年6月には、Raccoon Stealerによって感染した端末から数万件に及ぶChatGPTのアカウントが窃取され、ダークウェブ上で販売していたことが報道されました。
2018年に登場したインフォスティーラーで、フィッシングメールや偽サイト、海賊版ソフトなどを介してホストコンピューターに感染します。このマルウェアは、感染したシステムからクレジットカード情報やアカウント情報、ファイル、スクリーンショット、仮想資産ウォレットなど、さまざまな情報を窃取します。
Vidarの巧妙な手口として、セキュリティソフトやシステム管理者による検知・ブロックを回避するために、TelegramやInstagram、TikTok、Dropboxいった有名な正規のプラットフォームを*中間C2サーバーとして利用する点が挙げられます。
*中間C2サーバー
サイバー攻撃において、攻撃者がマルウェアに感染した端末(ボット)を遠隔で制御するために利用するサーバーのこと。
2016年頃に登場したインフォスティーラーで、ウェブブラウザに保存されたパスワードやCookie、クレジットカード情報、仮想通貨ウォレットなど、さまざまな情報を窃取します。フィッシングサイトや悪意ある添付ファイル、Emotetといったマルウェアを介して感染を拡大させます。
2016年に初めて確認されたインフォスティーラーで、感染したシステムからログイン情報、Cookie、自動入力データ、システム情報、特定のファイル、クリップボードデータなど、さまざまな情報を窃取します。当初はFormBookという名称で呼ばれ、主にWindowsを標的にしていました。しかし、活動を続ける中でXLoaderへと改名され、現在ではmacOSも標的とするようになりました。
<Cookieの関連記事はこちら>
2015年頃に初めて確認されたインフォスティーラーで、トロイの木馬型マルウェアとしても知られています。感染したシステムからログイン情報やメールクライアント、ファイル転送用のサーバー(FTPサーバー)、仮想通貨ウォレット、システム情報などの様々な情報を窃取します。現在も活発に活動しており、サイバー攻撃で頻繁に悪用されています。
次に、近年の国内におけるインフォスティ―ラーの被害状況について解説します。
国内では、2024年12月頃から偽サイトへ誘導するフィッシング詐欺が急増しています。ダークウェブ上では、日本の証券会社の利用者IDとパスワードのリストとされる大量のデータ、11万件を超えるアカウントが確認されています。半導体やネットワーク、サイバーセキュリティを扱う技術商社である株式会社マクニカが行った調査によると、これらの不正な手口にはフィッシングに加え、インフォスティーラーの悪用も確認されました。さらに、ダークウェブ上で確認された約11万件のアカウントのうち、約3万件がインフォスティーラーによって窃取されたものでした。
<出典元:NHK「相次ぐ証券口座乗っ取り 被害者のパソコン分析で分かったこと」>
また、金融庁が公表しているインターネット取引サービスへの不正アクセス・不正取引の被害状況によると、2025年2月には不正アクセスが116件発生し、不正取引金額は約1.7億(売却金額:約0.9億円、買付金額:約0.8億円)でした。一方、6月には不正アクセス数が1,539件、不正取引金額は約381億(売却金額:約215億、買付金額:約166億)に達しています。4月、5月と比較すると不正アクセスの件数は減少傾向にあるものの、不正取引金額は依然として高水準であり、被害が急増している状況にあると言えるでしょう。この不正アクセス数の急増は、フィッシング詐欺だけでなく、インフォスティーラーなどが原因となっている可能性も考えられます。
<出典元:金融庁「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」>
インフォスティーラーはさまざまな経路から侵入し、ユーザーに気づかれないうちに感染を完了させる、非常に悪質なマルウェアです。被害を防ぐためには、多層的なセキュリティ対策を講じることが極めて重要です。
次に、インフォスティーラーへの具体的な対策について解説します。
セキュリティソフトの導入は、インフォスティーラー対策の基本です。従来のセキュリティソフト(アンチウイルスソフト)は、マルウェアデータベースとの照合や不審なプログラムの監視を通じて、インフォスティーラーの検出や駆除を行います。
さらに、マルウェアの侵入を前提としたセキュリティソフトであるEDR(Endpoint Detection and Response)を導入することで、より強固な防御層を構築できます。万が一、インフォスティーラーに侵入された場合でも、EDRがその後の不審な挙動を継続的に監視・検知し、被害の拡大を効果的に防ぐとともに、迅速な復旧を支援します。
インフォスティーラーの侵入経路として頻繁に利用されているのが、偽のWebサイトやフィッシングメールです。たとえ「正規のドメインに見える」「公式サイトに見える」「公式企業からメールが送られてきたように見える」場合であっても、まず疑うことが重要です。安易にWebサイトにアクセスしたり、メールに添付されたURLをクリックしたりすることは絶対に避けましょう。
また、Webサイトにログインする際は、必ずブックマークやお気に入りから直接アクセスするよう、社内で徹底することを強く推奨します。
近年、セキュリティ意識の高まりから、重要なウェブサイトやアプリの多くが多要素認証(MFA)を導入しています。多要素認証は、パスワードなどの「知的情報」、スマートフォンといったデバイスなどの「所持情報」、指紋などの「生体情報」のうち、2つ以上の要素を組み合わせて行う認証のことです。
この設定を行うことで、万が一パスワードが漏えいした場合でも、不正ログインのリスクを大幅に減らすことができるため、多要素認証が設定できるWebサイトやアプリでは、必ず設定を有効にしましょう。
パスワードマネージャーは、桁数の多い強固なパスワードを自動生成・保存し、必要な時に自動入力してくれる便利なツールです。これを活用することで、設定するパスワードが常に強力になる上、パスワードの使いまわしも防げるため、セキュリティを大幅に向上させることができます。
MDR (Managed Detection and Response)は、24時間365日体制でエンドポイントやネットワークを監視する運用サービスです。万が一、不審な動きや脅威を検知した場合でも、セキュリティ運用の専門家が迅速に分析・対応を行います。これにより、企業はセキュリティ監視の負担を軽減し、より高度な脅威にも効果的に対処できるようになります。
セッションハイジャックとは、悪意ある第三者がセッションCookieの情報を盗み取り、ユーザーになりすましてWebサイトやサービスに不正アクセスする攻撃です。この脅威を防ぐためには、通信を暗号化するHTTPS(SSL/TLS)の利用が不可欠です。HTTPSを利用することで、セッションIDを含む通信内容が暗号化され、傍受による漏洩リスクを大幅に低減できます。
インフォスティーラーをはじめとするサイバー攻撃は常に進化しており、新たな侵入経路や手口が登場しています。そのため、現在実施している対策だけでは不十分となる可能性があります。進化を続ける脅威に対応するためには、継続的なセキュリティ対策のアップデートが不可欠です。具体的には、最新のサイバー攻撃の動向や脆弱性に関する情報を常に収集・把握し、新たな攻撃にも迅速に対応できる、一歩先を行く防御体制を維持することが重要になります。
以上、インフォスティーラーの特徴や侵入経路、被害に遭わないための対策について解説しました。
― インフォスティーラーとは
― 主なインフォスティーラーの種類
― 国内におけるインフォスティーラーの被害状況
― インフォスティーラーへの対策
― MDRの導入
インフォスティーラーは、多岐にわたる侵入経路を利用し、セキュリティソフトの検知を巧妙に回避しながら、長期的に機密情報を窃取し続ける、非常に悪質なマルウェアです。この巧妙かつ執拗な攻撃に立ち向かうためには、その特徴を正確に把握し、本記事でご紹介した対策を講じることが不可欠です。
自社のセキュリティ対策が十分であるかご不安な企業様は、どうぞお気軽にソニックスまでご相談ください。
