研究が明らかにするウェブクッキーのリスク

私たちの多くは、クッキー同意バナーを何の疑問も持たずにクリックしてスキップしています。それは日常的な動作であり、インターネット利用の中で忘れられがちな一部にすぎません。インターネットは利便性の上に成り立っているためです。しかし、その利便性には代償があり、その代償はしばしば「あなたのデータ」という形で支払われます。私たちの最新の研究で、ダークウェブ上で出回っていた937億個のクッキーを分析し、それらがどのように盗まれ、どのようなリスクをもたらすかを明らかにしました。プライバシーとセキュリティにどのような意味を持つのか、そして自分の身を守るにはどうすればよいのかを学びましょう。

インターネットクッキー

クッキーのポップアップは誰もが見たことがあるでしょう。ほぼすべてのウェブサイトで表示されます。ウェブクッキー（単にクッキーとも呼ばれます）は、もはや私たちのブラウジング習慣の一部となっており、「すべてを許可」をクリックするのも当たり前になっています。

クッキーとは、訪問したウェブサイトがあなたのデバイスに保存する小さなテキストファイルです。これには、閲覧履歴や設定情報が含まれており、次回の訪問時にウェブサイトがあなたを覚えているために役立ちます。たとえば、ログイン状態を維持したり、ショッピングカートの中身を保持したりします。しかし同時に、クッキーは広告目的でユーザーの行動を追跡することもあり、プライバシーの懸念の原因にもなっています。

インターネットクッキーには下記のようないくつかの種類があります。

• ファーストパーティークッキー：現在閲覧しているサイトによって作成・保存されるクッキーです。ログイン情報やユーザー設定などを記憶し、利便性を高めます。通常は比較的無害とされますが、セッションIDやログイン情報などが保存されている場合、それが盗まれると個人アカウントや企業ネットワークに不正アクセスされる恐れがあります。
• サードパーティークッキー：訪問中のサイトとは別のサイト（広告業者や分析プロバイダーなど）によって保存されます。ユーザーの複数サイトにおける行動（クリックしたリンク、閲覧した商品など）を追跡します。
• スーパークッキー：検出・削除が非常に困難な追跡メカニズムです。FlashやHTML5のローカルストレージ、ETags、HSTSなどに隠れて保存され、インターネットプロバイダーによってトラフィック内に埋め込まれる場合もあります。通常のクッキー削除では消せないため、深刻なセキュリティリスクです。
• ゾンビクッキー：削除しても「蘇る」クッキーです。通常のクッキー保存領域の外にバックアップがあるため、削除後も自動的に再作成され、プライバシーに対して重大な脅威となります。

研究が明かす、ウェブクッキーの一面

ほとんどのクッキーは無害ですが、悪意ある者の手に渡れば、たった一つのクッキーでもユーザーの行動履歴が明らかになる可能性があります。無意識にクッキーを受け入れる行為が危険な習慣になっているのです。

今回の調査では、昨年の研究に続き、937億個を超えるクッキーがダークウェブのフォーラムやTelegramのマーケットプレイスで販売されているのを分析しました。クッキーの出所や内容、アクティブかどうか、そしてサイバー犯罪者がどのように利用しているかを調べました。

なお、NordVPNおよび研究パートナーは、これらの盗まれたクッキーを購入または中身を閲覧していません。販売情報に記載されたメタデータのみを分析し、利用者のプライバシーと安全性を確保しました。

ウェブクッキーはどうやって盗まれるのか？

サイバー犯罪者はマルウェアを使ってクッキーを盗みます。今回の研究では、クッキーのほとんどがインフォスティーラー、トロイの木馬、キーロガーによって収集されていました。これらはログイン情報やクッキー、保存されたパスワード、仮想通貨ウォレットを狙うために設計されたマルウェアです。

以下は、調査で確認された主なマルウェアとその影響です：

• Redline：最も広く使われているマルウェアの一つで、937億件中約420億件のクッキーを盗んでいました。ただし、6.2%しか有効な状態で残っていませんでした。
• Vidar：特定のデータを狙うように構成されたマルウェア。約105億件を収集し、7.2%が有効でした。
• LummaC2：比較的新しいマルウェアですが、急速に普及中。88億件以上を盗み、6.5%が有効。
• CryptBot：主にWindowsをターゲットとしたインフォスティーラー。件数は少ない（約14億件）ながら、有効率は83.4%と最も高い効果を発揮。
  

これらのマルウェアツールは使いやすく、広く出回っているため、ほとんど誰でも入手して利用できてしまいます。多くの場合、海賊版ソフトや一見無害に見えるダウンロードファイルに潜んでいます。一度インストールされると、ブラウザのクッキー保存領域をスキャンし、すべての情報をコマンド＆コントロール（C2）サーバーへ送信します。その後、こうして収集されたデータは、早ければ数分以内にダークウェブに出品されることもあります。

クッキーの中身

では、これらのクッキーには実際に何が含まれているのか。それは驚くほど多くの情報です。

サイバー犯罪者が盗んだクッキーを販売する際には、どのようなデータが含まれているかを示すためにキーワードでタグ付けされることが多くあります。最も一般的なキーワードは「ID」（180億件）で、次に多かったのが「session（セッション）」（12億件）でした。そのほかにも、「auth（認証）」（2億7290万件）や「login（ログイン）」（6120万件）といったキーワードが付けられているクッキーも大量にありました。

これらのタグは、クッキーが特定のユーザーアカウントと紐づいていることを示しており、パスワードなしでライブセッションを乗っ取る目的で再利用される可能性があるということです。特に深刻なのは、調査対象となった937億個のクッキーのうち、15.6億個がまだ有効だったという事実です。

しかし、危険なのはアカウントアクセスだけではありません。これらのクッキーの中には、ユーザーの氏名、メールアドレス、国、都市、性別、誕生日、さらには物理的な住所といった個人情報が含まれているものもあります。

このような詳細な情報は、攻撃者がターゲットに合わせたソーシャルエンジニアリング攻撃を仕掛けたり、最悪の場合には個人になりすました犯罪（ID盗用）に利用されたりするリスクがあります。さらに、位置情報や誕生日といった情報が外部に漏れることで、単なるプライバシーの問題を超えて、個人の安全にまで影響を及ぼす脅威となるのです。

クッキーはどこから来たのか？

研究者たちは、盗まれたクッキーの出所をより詳しく調べるために、クッキーが取得されたプラットフォーム、発信国、そして使用されていたオペレーティングシステムという3つの主要な要素を分析しました。

プラットフォーム

プラットフォームの面では、やはり大手企業の名前が目立ちます。データセットの中で最も多かったのはGoogleサービスに関連するクッキーで、GmailやGoogle Drive、その他のGoogleサービスに紐づくクッキーが45億個以上含まれていました。YouTubeとMicrosoftもそれぞれ10億個以上のクッキーを占めています。

人気のあるプラットフォームは、より多くの情報を盗み取ることができるため、攻撃者にとって魅力的なターゲットとなります。さらに、GoogleやMicrosoftのアカウントは多要素認証（MFA）に利用されることが多いため、これらのセッションクッキーを盗むと、パスワードを推測したり2段階認証を突破したりすることなく、メール、ファイル、カレンダー、さらには連携している他のアカウントにまでアクセスされる可能性があります。

国

クッキーは世界中で盗まれており、その数は非常に多いことが分かっています。多くの盗まれたクッキーにはユーザーの国情報が含まれていませんでしたが、含まれていたものは少なくとも253の異なる国や地域に関連していました。「不明」とされているクッキーもあるため、実際の数はさらに多いと考えられます。

ブラジル、インド、インドネシア、アメリカ合衆国が特に被害を受けている国々の一例です。ヨーロッパではスペインが最も多く、17.5億個のクッキーが盗まれました。一方、日本では、約2億4,782万個のクッキーが盗まれ、そのうち約8.23%が依然としてアクティブな状態です。

デバイス

ほとんどのクッキーはWindowsデバイスから取得されており、これはほとんどのマルウェアがWindowsを標的にしているため、驚くことではありません。しかし、132億個以上のクッキーはその他のオペレーティングシステムや出所不明のデバイスから取得されています。つまり、Windowsユーザーが最大の標的である一方で、他のOSのユーザーも完全に安全というわけではなく、他のプラットフォームに対する攻撃も実際に発生しているのです。

攻撃者はウェブクッキーを使って何ができるのか？

クッキーは便利な存在に思えますが、ときには不快な影響をもたらすこともあります。実際、見た目には取るに足らないようなクッキーであっても、あなたやあなたのビジネスに大きな被害を与えることが可能です。一度侵入口を許してしまうと、他の扉を開けるのもさほど難しくありません。特にセッションクッキー（しかもアクティブなもの）はまさに宝の山で、これさえあれば攻撃者はログインページを完全にスキップできます。

しかしリスクはそれだけにとどまりません。盗まれたクッキーは以下のような悪用もされる可能性があります。

• ソーシャルメディア、メール、オンラインショッピングのアカウントを乗っ取る。
• 保存されたログイン情報や自動入力データを使って、本人になりすます。
• クッキーが「信頼されたデバイス」を示している場合、二要素認証を回避する。
• 個人情報を使って、ターゲットを絞ったフィッシング攻撃を仕掛ける。
• 特にクッキーを使ったシングルサインオン（SSO）を導入している企業のネットワーク内で、横移動攻撃を行う。
• 金融情報や顧客データ、その他の機密情報にアクセスする。
• ログイン認証情報を盗んだり、上位のシステム権限にアクセスしたりして、ランサムウェア攻撃を助長する。

クッキーを守る方法

クッキーの盗難から身を守るために、インターネットの利用を完全にやめる必要はありませんが、いくつかの習慣を見直すことが大切です。

• クッキーを受け入れる前に考える。安全を守る第一歩は、すべてのクッキーが必要なわけではないと理解することです。「すべてのクッキーを許可する」ボタンがあっても、必ずしもそれを押す必要はありません。可能な限り、不必要なクッキー、特に第三者のものや行動を追跡するクッキーは拒否しましょう。ほとんどのウェブサイトは、それらのクッキーがなくても問題なく動作します。
• 追加のセキュリティツールを導入する。情報を盗むマルウェア（インフォスティーラーなど）は、ダウンロードやフィッシングリンクを通じてコンピューターに侵入します。たとえば、脅威対策Pro™のようなツールを使えば、悪質なウェブサイトをブロックしたり、ダウンロードしたファイルをスキャンしてマルウェアの侵入を防げます。
• クッキーを定期的に削除する。すべてのクッキーを保持する必要はありません。古くなったクッキーは捨てましょう。特に公共の場所や共有のパソコンを使った後は、クッキーの削除を習慣にするとよいです。この小さなステップが、あなたのデータが乗っ取られるリスクを減らすのに役立ちます。
• より安全な接続を使う。まずは公共のWi-Fiや暗号化されていないネットワークの使用を避けましょう。VPN（仮想プライベートネットワーク）を利用すれば、インターネット通信が暗号化され、盗聴者からより安全に守られます