インフォスティーラーは、気づかないうちに認証情報が盗まれている可能性があるマルウェアです。
不正ログインやアカウント乗っ取りの背後で関与しているケースも指摘されており、被害が表面化しにくい点が特徴です。本記事では、仕組みや感染経路、対策を解説します。
インフォスティーラーとは?
インフォスティーラー(Infostealer)は、パソコンやスマートフォンなどの端末に侵入し、ブラウザに保存されたログインID・パスワードなどの認証情報を盗み出すことを目的としたマルウェアの総称です。英語では「情報(Information)」を「盗む者(Stealer)」で「Infostealer(情報窃取型マルウェア)」と呼ばれます。
近年は、このインフォスティーラーによって盗まれた認証情報が、企業ネットワークへの侵入や不正送金などの攻撃に悪用される事例が増えており、企業にとっても無視できないリスクとなっています。
インフォスティーラーの特徴
インフォスティーラーは、端末に異常を生じさせることなく、利用者に気付かれないまま情報を収集する点が特徴です。収集された認証情報は、不正ログインや不正送金などの攻撃に悪用されることが多く、侵入のきっかけとして利用されるケースが多いとされています。
見えにくい被害の実態
インフォスティーラーによる被害は、実態が把握されにくいという性質があります。日本国内のインシデント公表では、「認証情報が不正に利用された可能性」などと説明されることが多く、原因が特定されないケースが一般的です。
そのため、表面的には不正ログインやアカウント乗っ取りとして処理されている事案の中にも、インフォスティーラー感染が関与している可能性があります。
海外のセキュリティレポートでは、認証情報の流出の多くが情報窃取型マルウェアに起因すると指摘されています。
つまり、見えている被害の背後にリスクが存在している可能性があります。
インフォスティーラーの仕組み
インフォスティーラーは、端末に侵入した後、ブラウザやOSに保存された情報を収集し、外部のサーバーへ送信する仕組みを持っています。感染すると、ブラウザに保存されたログインID・パスワードやCookie(セッション情報)などのデータを読み取り、攻撃者のサーバーへ送信します。
収集対象はブラウザ情報に限らず、アプリケーションの認証情報や設定ファイルなどに及ぶ場合もあり、これらの情報はまとめて送信されることもあります。
なお、インフォスティーラーは主にパソコンを対象としたマルウェアとして広く確認されていますが、スマートフォンにおいても類似の手口による情報窃取が発生しています。
インフォスティーラーで何が盗まれるのか
インフォスティーラーは、認証情報を中心に端末内に保存されたさまざまな情報を収集します。特に狙われるのは、Webサービスへのログインに利用される認証情報や、資産や企業システムにアクセスできる情報です。
これらの情報が盗まれると、不正ログインや金銭被害、企業システムへの侵入などにつながる可能性があります。
ブラウザのログインパスワード
多くのWebブラウザには、利用者の利便性のためにログインIDやパスワードを保存する機能があります。インフォスティーラーは、このブラウザに保存された認証情報を読み取り、攻撃者のサーバーへ送信します。
盗まれた認証情報は、メールサービス、SNS、ECサイト、クラウドサービスなどのアカウントへの不正ログインに悪用されるほか、ダークウェブ上で売買され、他の攻撃者に利用される場合もあります。
Cookie(セッション情報)
Cookieとは、Webサービスにログインした状態を維持するためにブラウザに保存される情報です。攻撃者がインフォスティーラーによってCookieを入手すると、そのCookieを自分の端末に読み込ませることで、被害者のログイン状態を再現できる場合があります。
この場合、ログイン時の認証手続きが省略されるため、多要素認証(MFA)を設定しているサービスでも不正アクセスが成立するケースが指摘されています。
仮想通貨ウォレットや資産情報
インフォスティーラーの中には、仮想通貨ウォレットの情報や関連ファイルを収集する機能を持つものがあります。仮想通貨ウォレットとは、暗号資産を管理するためのソフトウェアやアプリのことで、ウォレット内には秘密鍵などの重要な認証情報が保存されている場合があります。
これらの情報が盗まれると、攻撃者によって仮想通貨が不正に送金される被害につながる可能性があります。
VPNや社内アカウント、クラウドサービス認証情報
企業環境では、従業員が業務で利用するVPNやクラウドサービスのログイン情報もインフォスティーラーの標的になります。VPNの認証情報が盗まれた場合、攻撃者は従業員になりすまして社内ネットワークへ接続できる可能性があります。
また、Microsoft 365やGoogle Workspaceなどのクラウドサービスの認証情報が盗まれると、メールやファイル共有サービスへ不正にアクセスされ、情報漏えいにつながるおそれがあります。
インフォスティーラーはどこから感染するのか
インフォスティーラーは、特別な操作をしなくても、日常的なインターネット利用の中で感染する可能性があります。攻撃者は、検索サイトやメール、SNS、ソフトウェアのダウンロードといった利用者の行動に合わせて偽装を仕掛けます。
その結果、正規サイトの利用や通常の操作のつもりでも、気づかないうちにマルウェアを実行してしまうケースが発生します。
ここでは、代表的な感染経路と具体的な手口を整理します。
フィッシングメール・SNS
配送業者や金融機関、クラウドサービスを装ったメッセージでリンクをクリックさせる手口です。リンク先でマルウェアをダウンロードさせる、または偽のログイン画面で認証情報を入力させることで被害が発生します。
近年はメールだけでなく、SNSのダイレクトメッセージも利用されています。
検索広告を悪用した偽サイト
検索結果の広告枠を利用し、正規サイトに似せた偽サイトへ誘導する手口です。利用者がソフト名やサービス名で検索し、広告リンクをクリックすると、偽のダウンロードページに誘導され、そこでファイルをダウンロード・実行してしまうと、インフォスティーラーに感染します。
偽の認証画面・エラー表示による操作誘導
偽のCAPTCHAやエラー画面を表示し、利用者に操作を指示する手口です。指示に従ってコマンドを実行したり、キー操作を行うことで、利用者自身の操作により感染が成立します。
ダウンロードを伴わないため、気づきにくいのが特徴です。
悪意あるブラウザ拡張機能
便利な機能を装った拡張機能をインストールさせ、ブラウザ内の情報を収集する手口です。導入後はバックグラウンドで動作し、ログイン情報やCookieなどを外部へ送信します。
見た目では不正な動作が分かりにくい点が特徴です。
不正なダウンロードファイル
ソフトウェアやファイルにマルウェアを仕込み、ダウンロードと実行を誘導する手口です。正規サイトに見せかけたページや偽のダウンロードボタンを経由し、意図しないファイルを取得させます。
実行した時点で感染が成立します。
海賊版ソフトやクラックソフト
不正に改変されたソフトにマルウェアが同梱されているケースです。利用者がソフトを起動すると、裏で情報の収集と送信が行われます。
無料で利用できる代わりに、認証情報が窃取されるリスクが極めて高い手口です。
インフォスティーラーとランサムウェアの関係
インフォスティーラーによる被害は、単なる情報窃取にとどまりません。近年のサイバー攻撃では、インフォスティーラーで盗まれた認証情報が企業ネットワークへの侵入に利用され、その後ランサムウェア攻撃へ発展するケースが増えています。
インフォスティーラーは、システム停止や業務停止、巨額の復旧費用など企業に深刻な被害をもたらすランサムウェア攻撃「大規模攻撃の入口」として警戒すべき存在と言えます。
ここでは、インフォスティーラーがどのように企業ネットワーク侵入やランサムウェア攻撃につながるのかを解説します。
盗まれた認証情報から社内侵入が始まる
インフォスティーラーで盗まれた認証情報は、攻撃者による不正ログインに利用されることがあります。 メール、クラウドサービス、VPNなどのアカウントにログインされると、攻撃者は正規ユーザーとして企業システムにアクセスできるようになります。 この段階では大きな異常が発生しないため、企業側が侵入に気づきにくいのが特徴です。攻撃者はログイン後に社内環境を調査し、権限の高いアカウントや重要なサーバーを探し始めます。
Cookie窃取によるMFA回避
インフォスティーラーは、ブラウザに保存されたCookie(セッション情報)を窃取する機能を持つことがあります。 Cookieが盗まれると、攻撃者はログイン済み状態を再現できる場合があります。この場合、ログイン時の認証手続きを経ないため、多要素認証(MFA)を導入していても不正アクセスが成立するケースがあります。
最終的にランサムウェア攻撃へ発展する
社内に侵入した攻撃者は、ネットワーク構成を調査しながら権限を拡大し、複数のサーバーや端末へアクセス範囲を広げていきます。 こうして十分な準備が整った段階で、最後にランサムウェアが展開されます。ファイル暗号化や業務停止といった大規模被害が発生するのは、この段階です。
つまりインフォスティーラーは、単なる情報窃取型マルウェアではなく、ランサムウェア攻撃の「初動」として利用されることがあるのです。
インフォスティーラーの有無で変わる被害の規模
フィッシングによって認証情報を取得した後、すぐにランサムウェアを実行するケースもありますが、近年はインフォスティーラーを用いて事前に情報を収集したうえで攻撃を行う手口が主流になりつつあります。 前者は、取得した1つのアカウントを起点に攻撃が進むため、侵入範囲や被害が限定的になる場合があります。一方、インフォスティーラーを挟む場合は、ブラウザに保存された認証情報やCookie、VPN情報などを一括で取得できるため、複数のシステムやアカウントへ横展開が可能となります。
その結果、攻撃者は組織内のより重要なサーバーや権限の高いアカウントに到達しやすくなり、最終的にランサムウェアによる被害も広範かつ深刻になりやすい傾向があるのです。
インフォスティーラーと他のサイバー攻撃との違い
インフォスティーラーは、フィッシングやランサムウェアの役割と混同されることがありますが、それぞれ手口や目的が異なります。以下のように整理すると違いが分かりやすくなります。
| 項目 | インフォスティーラー | フィッシング | ランサムウェア |
|---|---|---|---|
| 目的 | 認証情報の収集 | 認証情報の窃取 | 金銭(身代金) |
| 手口 | マルウェア感染 | 偽サイト・偽メール | マルウェア感染 |
| 取得方法 | 自動で抜き取る | 入力させる | データを暗号化 |
| ユーザー関与 | 不要 | 必要(入力) | 不要 |
| 被害 | アカウント乗っ取り・侵入 | 不正ログイン・送金 | 業務停止・復旧不能 |
| 特徴 | 気づかない | だまされる | すぐ影響が出る |
【関連記事】ランサムウェア対策とは?感染経路・被害事例・企業が取るべき対応策を解説
インフォスティーラーによる被害
インフォスティーラーによる被害は、単なるアカウント乗っ取りにとどまりません。盗まれた認証情報が不正取引や企業ネットワーク侵入に利用されることで、金銭被害や情報漏えい、業務停止といった深刻なインシデントへ発展することがあります。ここでは、実際に発生している代表的な被害の形態を整理します。企業ネットワーク侵入
企業環境では、インフォスティーラーによる感染が組織全体のセキュリティ事故の起点となることがあります。例えば、テレワーク環境で利用しているVPNの認証情報が盗まれると、攻撃者は従業員になりすまして社内ネットワークへ接続できる可能性があります。
社内に侵入した攻撃者は、機密情報の窃取やシステム構成の調査、権限の拡大、さらにはランサムウェアの設置などを段階的に進めます。
警察庁も、ランサムウェア被害の多くが企業ネットワークへの侵入を起点として発生していることを指摘しています。
一台の端末の感染が、社内システム全体の侵害や業務停止につながるケースも少なくありません。
証券口座の不正取引(法人資金の不正送金など)
インフォスティーラーによる被害として近年目立つのが、オンライン証券口座やインターネットバンキングへの不正アクセスです。盗まれた認証情報を使ってログインされると、保有している株式が勝手に売却されたり、不正な株取引が行われたりするケースがあります。
金融庁も、インターネット取引サービスへの不正アクセスと不正取引の増加について注意喚起を行っています。
企業においても、経理担当者や経営層の端末が感染した場合、法人口座や資産運用口座への不正アクセスにつながる可能性があります。
結果として法人資金の不正送金や不正取引が発生し、企業財務に直接的な被害が及ぶおそれがあります。
証券口座の不正取引の事例
大手証券等で発生した不正転売事案において、同社は公式にマルウェアによる情報窃取の可能性を認めています。また、日本経済新聞等の報道によれば、その具体的な手法は『インフォスティーラー』を用い、二段階認証を無効化するセッションハイジャックであったことが指摘されています。
SNSやクラウドアカウント乗っ取り
インフォスティーラーによって盗まれた認証情報は、SNSやクラウドサービスのアカウント乗っ取りにも利用されます。例えば、X(旧Twitter)、Instagram、YouTubeなどのSNSアカウントが乗っ取られ、詐欺広告の投稿やフォロワーへの不審メッセージ送信に悪用される事例が報告されています。
企業アカウントが被害に遭った場合、ブランドイメージの毀損や顧客への被害拡大といったリスクが生じます。
また、Microsoft 365やGoogle Workspaceなどのクラウドサービスの認証情報が盗まれると、メールや共有ファイルへの不正アクセスを通じて情報漏えいが発生する可能性があります。
インフォスティーラーへの対策
インフォスティーラー対策は、日常的な設定や運用の見直しによってリスクを大きく下げることが可能です。個人・企業それぞれの観点から、基本となる対策を整理します。基本的な対策
・ブラウザにパスワードを保存しない(保存情報がまとめて盗まれるリスクがあるため)・多要素認証(MFA)を有効化する(パスワードが漏れてもログインを防げる)
・OSやソフトウェアを常に最新状態に保つ(脆弱性を悪用されるリスクを防ぐ)
・信頼できるセキュリティソフトを利用する(不審な挙動や通信を検知・防御する)
企業としての対策
・EDRによる端末監視体制の強化(不審な挙動を早期に検知する)・業務で使用するアカウントの管理と棚卸し(未把握のアカウントを放置しない)
・従業員へのセキュリティ教育・訓練の実施(フィッシングなど人的ミスを防ぐ)
・FIDO認証などの導入(パスワード自体を使わない仕組みに移行する)
企業においては、業務で使用するアカウントの管理と棚卸しも重要です。資料請求や外部サービスの利用などで、管理されていないアカウント(シャドーIT)が増えると、認証情報の使い回しやブラウザ保存といった状態が放置されやすくなり、インフォスティーラーによる情報窃取のリスクが高まります。
社内で利用している主要なサービスを把握し、パスワードの使い回しを避ける運用を徹底することが重要です。
【関連記事】
不正アクセス対策とは?企業が取るべき対策の基本&実践ポイントを解説
NGAV(次世代アンチウイルス)とは?EPP・EDRとの違いを徹底解説
セキュリティBPOとは?メリット・デメリットと失敗しない選び方を解説
従業員のセキュリティリテラシーを高めるには?本当に効果的な情報セキュリティ教育のポイントを解説
代表的なインフォスティーラーの種類
インフォスティーラーには複数の種類があり、それぞれ窃取対象や機能に特徴があります。代表的なものは以下の通りです。・RedLine Stealer
ブラウザの保存パスワードやCookie、仮想通貨ウォレット情報などを窃取する代表的なインフォスティーラーです。
・Vidar
情報窃取に加え、追加のマルウェアをダウンロードする機能を持つインフォスティーラーです。
・Lumma Stealer
比較的新しいインフォスティーラーで、Cookieやブラウザ情報の窃取能力が高いとされています。
・Raccoon Stealer
サブスクリプション形式で提供されていたインフォスティーラーで、ダークウェブ上で広く流通していました。
インフォスティーラーは種類によって、窃取される情報やその後に発生する被害の内容が異なります。ブラウザ情報を中心に狙うものもあれば、仮想通貨ウォレットや追加のマルウェア感染につながるものもあり、被害の範囲は多岐にわたります。
そのため、「どの情報が盗まれるとどのような被害につながるのか」を理解し、認証情報の管理や多要素認証の導入など、被害を前提とした対策を講じることが重要です。
まとめ
インフォスティーラーは、パソコンやスマートフォンに侵入し、ブラウザに保存されたログインID・パスワードやCookie(セッション情報)などを盗み出す情報窃取型マルウェアです。被害は不正ログインや不正送金にとどまらず、VPNやクラウドサービスの認証情報が悪用されることで、企業ネットワークへの侵入やランサムウェア攻撃につながるケースもあります。
感染経路としては、フィッシングメールや偽サイト、不正なダウンロードファイル、悪意ある拡張機能、海賊版ソフトなどが代表的です。見た目だけで判別しにくく、通常の操作の中で感染が成立する点も厄介な特徴と言えます。
対策としては、ブラウザへのパスワード保存を避けること、多要素認証(MFA)の活用、OSやソフトウェアの更新、信頼できるセキュリティ対策ソフトの利用が基本です。企業ではこれに加え、EDRによる監視、アカウント管理の徹底、従業員教育、FIDO認証などの導入も重要になります。
インフォスティーラーは目立たない一方で、被害が広がりやすい脅威です。まずは「認証情報が盗まれる前提」で、自社や自身の利用環境を見直すことが重要です。
ただし、体制や技術的な対策を講じることは非常に重要ですが、万が一の被害発生に備える視点も欠かせません。 Webサービス等を提供している企業は、インシデントが起こった際のリスク分散が重要となります。
万が一の情報漏えいや営業停止などのリスクに備える手段として、サイバー保険の導入も効果的です。
事故発生後の損害賠償や対応費用に備え、サイバー保険の一括見積で、補償内容を比較・検討しておくことをおすすめします。
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
出典:
Wikipedia:Infostealer
滋賀県警察本部:【注意喚起】「インフォスティーラー」にご注意!
Impress Watch:「2要素認証を設定したら安心」ではない 拡大するインフォスティーラーの脅威
日経クロステック:存在感高まる「インフォスティーラー」、はびこる背景から関連技術まで徹底解説
日本パソコンインストラクター養成協会:インフォスティーラーとは
