サイバー犯罪者が狙う「インフォスティーラー」の標的に当てはまっていませんか？

インフォスティーラーとは？その仕組みは？

インフォスティーラーとは、コンピュータシステムに感染し、保存されているユーザー名やパスワード、ブラウザのオートフィル（自動入力）情報、財務情報、その他の個人特定情報（PII）などのデータを盗み出すために作成されたマルウェアの一種です。

一般的な手口は、被害者を騙して罠の仕掛けられたファイルやインストーラーを実行させることです。攻撃者は通常、フィッシング、マルバタイジング（不正広告）、または「クリックで修復」といった形式のソーシャルエンジニアリングを用います。マルウェアが実行されると、ウェブブラウザ、メールクライアント、パスワードマネージャーなどの一般的な保存場所からデータを収集し、盗んだ情報をログファイルにまとめて、攻撃者が制御するインフラサーバーに送信します。多くの運用では、これらのログを受信・整理し、簡単に検索できるようにするバックエンドパネルが使用されています。

データの流出後、インフォスティーラーの運用者はログを販売して利益を得たり、プライベートなコミュニティで取引したり、他の犯罪仲間に渡したりします。その後、盗まれたデータはアカウントの乗っ取りや詐欺などの二次攻撃に悪用されます。

インフォスティーラーの感染経路

インフォスティーラーは通常、ユーザー自身が騙されて悪意のあるファイルを実行したときに感染します。攻撃者はソーシャルエンジニアリングや配布チャネルを悪用し、マルウェアを正当なもの、便利なもの、あるいは緊急性の高いものに見せかけます。主な感染経路は以下の通りです。

クラックソフト、チート、MOD、および「無料」ツール

インフォスティーラーは、クラックされたソフトウェア、ゲームのチートやMOD、非公式のインストーラーなどを通じて配布され、正規のプログラムに便乗して侵入します。これらのファイルはトレントサイト、ファイルホスティングプラットフォーム、掲示板、動画の概要欄などで共有され、ユーザーは警告を無効にしたりセキュリティのプロンプトを無視したりしがちです。実行されると、仕込まれたマルウェアが目的のソフトと共に動作し、保存されたデータを収集します。

偽のダウンロードページ、マルバタイジング、スポンサー検索の罠

不正な広告、スポンサー付き検索結果、本物のソフトウェアサイトを模倣した偽のダウンロードページも感染源となります。これらのページは、ユーザーが人気ツールやアップデート、パッチを検索した際に表示され、一見しただけでは分からないほど精巧に作られています。偽のダウンロードボタンを不用意にクリックするだけで、正規のソフトがインフォスティーラーにすり替えられてしまいます。

悪意のあるブラウザ拡張機能

広告ブロック、生産性向上ツール、価格追跡ツールなどを装った悪意のあるブラウザ拡張機能を通じて配信されることもあります。ブラウザに追加されると、これらの拡張機能は信頼された環境内で動作し、保存されたパスワードやクッキー、アクティブなセッションに直接アクセスできます。このカモフラージュにより、目的のデータを奪った後も長期間居座り続けることがあります。

チャットアプリやクラウドストレージで共有されるリンクとファイル

グループチャット、サーバー、ダイレクトメッセージ、掲示板やSNSに投稿されたクラウドストレージのリンク経由でも感染します。攻撃者は「無料ツール」「プレミアムコンテンツ」「修正プログラム」などを共有し、感染したアーカイブやインストーラーを送りつけます。ファイルを開くと、インフォスティーラーが実行され、ローカルに保存されたデータの収集が始まります。

ローダーネットワークとPPI（インストール型報酬）キャンペーン

「ローダー」と呼ばれる、他の悪意のあるファイルをダウンロードして実行するためだけのプログラムによって送り込まれる場合もあります。ローダーは通常、インフォスティーラーと同じ方法でインストールされますが、デバイス内に留まり、攻撃者が後で新しいペイロード（実体）を配置できるようにします。犯罪者はこれらのローダーネットワークに費用を払い、国やボリュームを指定してインフォスティーラーを感染端末に送り込ませます。このモデルにより、同じユーザーを二度騙す必要がなくなり、マルウェアの配信が自動化されたサービスとして成立しています。

インフォスティーラーが最も狙う被害者プロファイル

インフォスティーラーの被害を最も受けやすいのは、保存されたパスワード、同期されたログイン情報、アクティブなセッションを持つ開いたままのタブがデバイス内に密集しているユーザーです。膨大な事例の中で、オンラインでの行動や使用ツールに基づいた共通のユーザータイプが浮かび上がってきました。

「常時ログイン」型プロファイル

主に、アカウントにサインインしたまま、SNS（Facebook、Instagram、Xなど）、有料メディア、ストリーミングプラットフォーム、オンラインショッピング、個人向け金融サービスに多くの時間を費やすWindowsユーザーを指します。これらのユーザーは日常的にアカウントを使用するため、ログアウトすることは滅多にありません。攻撃者の視点から見れば、これは「棚ぼた」のような容易な標的です。

「ゲーマー」型プロファイル

大規模なゲームエコシステムに属し、ゲームランチャー、MOD、チート、サードパーティ製のアドオンを頻繁にインストールするユーザーです。この層は他のユーザーよりもサードパーティ製ファイルを実行する機会が多く、罠の仕掛けられたファイルをダウンロードしてしまう確率が高くなります。ゲームアカウントには決済情報やデジタル購入履歴が含まれていることが多く、ブラウザセッションも維持されやすいため、攻撃者に好まれます。

「ITプロフェッショナル」型プロファイル

皮肉なことに、ITの専門家も主要な標的です。エンジニアリングやIT管理に使用されるPCには、価値の高い認証情報や管理者権限が集中しているためです。管理用ログイン情報、APIトークン、リモートアクセス用の認証情報が日常のブラウジングデータと共に保存されていることが多く、一度インフォスティーラーが侵入すると、内部ツールやインフラへのアクセスの突破口になってしまいます。

なぜ「クッキーの窃取」がパスワードやMFAを凌駕するのか

ログインセキュリティが向上するにつれ、インフォスティーラーの手口も進化しました。今日の運用者は、生のパスワードよりも「認証クッキー」や「セッション・トークン」を狙うことが増えています。

ユーザーがパスワードマネージャーや多要素認証（MFA）を利用するようになったため、攻撃者はこれらの防御を回避できるデータを狙うようになりました。クッキーやトークンはログイン成功後に発行されるため、攻撃者はログイン画面やMFAのプロンプトを通ることなく、アカウントに「土足で」入り込むことができます。セッションが有効である限り、攻撃者はログイン済みのサービスを自由に徘徊できてしまいます。

アンダーグラウンドの市場では、盗まれたセッションデータは今や独立した商品として扱われており、ログの「鮮度」が価格を左右します。パスワード窃取からセッション・トークン窃取への移行は、攻撃者が強固な認証防御に迅速に適応している好例と言えます。

デバイスの感染リスクを低減する方法

リスクを減らす鍵は、デバイスが一度に保持するアカウントアクセスの量を制限し、万が一感染しても被害を最小限に抑える（影響範囲を狭める）ことです。

• 最も機密性の高いアカウントを優先的に保護する。 全アカウントを均等に考えるのではなく、他のアカウントへの「入り口」となるメインのメールアドレスやIDログインをまず固めましょう。次に、銀行、ショッピング、重要な仕事用サービスに同様の保護を適用します。可能な限りMFAやパスキーを使用し、パスワードだけに頼らないようにしてください。
• ブラウザに記憶させる情報を減らす。ブラウザやパスワードマネージャーに保存されているパスワードを定期的に整理し、使用していないものは削除して、見覚えのないセッションからはログアウトしてください。OSやブラウザを常に最新の状態に保つことも不可欠です。
• ダウンロードや「無料」ツールに警戒する。非公式のランチャーやクラックソフトのインストールは避けてください。もしツールが「保護を無効にすること」や「セキュリティ警告をバイパスすること」を要求してきたら、それは危険信号です。すぐに手を引きましょう。
• 乗っ取りの兆候を監視し、迅速に対応する。予期しないログインアラート、身に覚えのないパスワードリセット通知、新規デバイスからのサインインなどは、アカウント乗っ取りのサインです。感染が疑われるデバイスとは別の端末からパスワードを変更し、アクティブなセッションを強制終了させ、リカバリ設定（復旧用メールなど）が書き換えられていないか確認してください。