2025年8月26日、SBテクノロジーは「インフォスティーラー(Infostealer)」に関する勉強会を開催した。
同社 セキュリティ&テクノロジー本部 サービス統括部 マネージドセキュリティ部 セキュリティアナリストグループ 鈴木雅人氏
金融庁は、2025年4月に不正取引の発生件数を公表(8月更新)しており、二要素認証などが導入されてきた中でも、被害件数は変わらず推移している。特に直近では、インフォスティーラーによる証券口座の乗っ取り被害が続いて報告されるなど、その脅威は増している状況だ。
SBテクノロジーの辻伸弘氏は、「認可情報を窃取されると、二要素認証などが有効に働かなくなる」と指摘する。ID・パスワードを窃取しただけでは、“なりすまし”が難しい中、認可情報(Cookie)を窃取することで多要素認証を突破されるケースが多いという。特にインフォスティーラーにおいては、有効な対策を講じることが難しいと下図を提示する。
インフォスティーラーでは、メールやチャットでのファイル添付やURLへの誘導をはじめ、正規アプリや偽アプリを悪用したり、ClickFixを利用したりと、複数の手法が組み合わせられることもあるという。
たとえば、検知数が増加しているClockFixを用いた場合、インフォスティーラーを実行させるためのコマンドを入力させることで、外部スクリプトを取得・実行させる。SBテクノロジーの鈴木雅人氏は、「(キャプチャ認証が多様化した背景もあり)コマンドを実行しろと言われても、新たな認証方法だと思って指示に従ってしまう。また、ユーザーがスクリプトを手動実行しているため検知が難しい状況もある」と説明した。
現在、インフォスティーラーにおいては、LummaやVidar、StealCなどが「MaaS(Malware as a Service)」として収益化されており、ランサムウェアと同様に犯罪者ネットワークが構築されている状況だ。窃取された情報の売買取引が行われているオンラインマーケットでは、1アカウントあたり$10ほどで販売されているという。「(インフォスティーラーには)これといった事例がないことも特徴だ」と辻氏。たとえば、委託先企業がVPN経由で委託元のシステムにアクセスする際、委託元企業の保護下にない環境から認可情報などが窃取されて利用されるケースもあり、インフォスティーラーによる被害と断定することが難しいとする。
2025年5月21日、米国司法省はLummaのテイクダウンを公表したものの、依然としてLumma Stealerによって窃取したと思われる認証情報が売買されている様子が見受けられるという。SBテクノロジーのセキュリティ監視センター(SBT-SOC)では、2024年6月から2025年6月までの1年間において、インフォスティーラーが約3倍以上に増加していることを確認。インフォスティーラーに関連すると判断されたインシデントの割合も、約4倍にまで増加しているとのことだ。
なお、Lummaは、テイクダウン後にドメインを変えながら継続的に活動しており、「一時的に弱体化はしているが、ドメインを新しく取得することで活動を継続している。また、Cloudflareを多く利用していた中、Selectelのようなテイクダウンされにくいプロバイダに乗り換えているようだ」と鈴木氏は説明した。
インフォスティーラーの対策について、まずは不審なサイトやメールにアクセスさせないため、ネットワークセキュリティ製品の導入はもちろん、従業員が添付ファイルやコマンドを実行しないための教育、不必要な機能(ファイル名を指定しての実行など)の無効化なども有効だという。また、エンドポイントセキュリティ製品や外部パスワードマネージャー、ブラウザのシークレットモードの利用(パスワードやCookieを保存させない)なども対策になるとする。
「いたちごっこの状況は変わらないが、インフォスティーラーに限らない“基本的なセキュリティ対策”を実施することが重要だ。その上で多層防御を講じ、従業員教育も施していく必要がある」(鈴木氏)
この記事は参考になりましたか?
- この記事の著者
-
岡本 拓也(編集部)(オカモト タクヤ)
1993年福岡県生まれ。京都外国語大学イタリア語学科卒業。ニュースサイトの編集、システム開発、ライターなどを経験し、2020年株式会社翔泳社に入社。ITリーダー向け専門メディア『EnterpriseZine』の編集・企画・運営に携わる。2023年4月、EnterpriseZine編集長就任。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
