情報窃取型マルウェア(インフォスティーラー)の脅威とリスク
情報窃取型マルウェア(インフォスティーラー)は、オフィスで使うPCやモバイル端末、VPN装置などのネットワーク機器、コンピュータのストレージなど、身近にあるデバイスから情報を盗み取るために設計されたマルウェアです。
原語のInfostealerは、Information(情報)とStealer(盗人)を組み合わせた略語です。
Informationに対応する日本語は、企業の新製品情報や自治体の広報、観光案内など、「公開情報」のイメージが強いのですが、攻撃者が狙うのはもちろんこの類ではありません。企業システムのログイン情報、顧客名簿、特許や技術開発のデータなど、「Intelligenceの方の情報」です。
このタイプのマルウェアは、脅威としては新しいものではありません。2000年代から消費者に向けた攻撃が金融機関やECサイトなどを悩ませ、2010年代には一般企業の被害も目立つようになってきました。ここ数年は、ランサムウェアやサプライチェーン攻撃などに隠れて話題になることは少ないのですが、2025年はリスクが増大する傾向にあるとして、ITの大手企業や公的機関も警鐘を鳴らしています。
その理由と背景に進む前に、情報窃取型マルウェアの動き確認しておきましょう。
狙われる情報の種類と使い道
情報窃取型マルウェアは、情報を盗み取る機能を持つ不正ソフトをすべて含みますからその範囲は広いのですが、多くの被害が発生しセキュリティ関係者の間でよく知られているのは、「Qakbot」「RedLine」「FormBook/XLoader」「LockBit」など、10~20種ほどに絞られます。(「XLoader」は「FormBook」の後継に位置づけられる)。
狙われる情報は、住所氏名と生年月日などを含む個人情報、クレジットカード情報、ECサイトや有料サイトの認証情報、利用履歴、暗号資産ウォレット(資産管理アプリ)のデータなどが含まれます。企業が管理する情報では、企業ネットワークやVPNのログイン情報、クラウドサービスのアカウント、メールアプリの認証情報、Wi-Fiのパスワードなど多岐に渡ります。
盗み取った情報は、一般消費者を装った不正送金、カードの不正利用、企業システムへの不正侵入や標的型攻撃などに悪用する他に、ダークウェブで売りに出すこともあります。個人のデータも企業が管理する機密情報も、攻撃側の実利に結びつくものは、すべて標的になり得ると考えられます。
情報窃取の手口もいろいろありますが、典型的なパターンをいくつか抽出してみます。
インフォスティーラーの常套手段
よく狙われる環境は、PCとWebブラウザです。例えば、メールの添付ファイルを開くか不正なリンクをクリックすると、ここからマルウェアが展開・実行され、ブラウザに記録された企業システムの認証情報やデータベースを使うアカウント、個人利用のPCならクレジットカード情報などのデータが盗まれます。
Webブラウザの他にもメールソフト、ファイルの送受信に使われるftpクライアントなども標的になり、マルウェアの種類によっては、データを入力しているキーストロークや認証画面のスクリーンショット、クリップボードに記録されたデータなども盗み取ります。特にPCのOSやアプリケーションが最新のものでないと、既知の脆弱性を突かれ、マルウェアの実行やデータ窃取の成功率を高めてしまいます。
PCから機密情報を窃取するイメージ
出典:「情報セキュリティ10大脅威2023」 情報処理推進機構(IPA)
以前の攻撃メールは英文も多く、悪性のファイルとリンクは、メールセキュリティシステムが検知できるケースも多かったのですが、生成AIの登場後、日本語の攻撃メールも巧妙化してきました。業界関係者しか接しない規約に関する連絡や契約書の内容確認などを隠れ蓑にし、ファイルもガードをすり抜けるテストをしているため油断はできません。
ランサムウェアと連動
先ほど名前を挙げたマルウェアのうち、「FormBook/XLoader」「LockBit」などは、情報を窃取するだけでなく、指示されたコマンドを実行する機能も備えています。このタイプに感染すると、例えば、攻撃者のC&Cサーバーと通信しながらPCを乗っ取り、ダウンローダーの機能を使ってランサムウェアなど他のマルウェアを展開・実行されてしまうリスクも高まるのです。
このような脅威は世界的に拡大しています。
Googleは、2025年のセキュリティリスクを予測した「CyberSecurity Forecast 2025 Report」の中で、AI技術の悪用やロシアや北朝鮮など“The Big Four”による脅威などと共に、「The Rising Threat of Infostealer Malware:A Gateway to High-Impact Data Breaches」(情報窃取型マルウェアの脅威が増大:重大なデータ侵害への入口)を挙げています。
また国内でも2025年1月8日、警察庁と内閣サイバーセキュリティセンターの連名で、政府機関や一般企業に対し、犯罪グループ「MirrorFace」による、認証情報の窃取を狙うメールなどの攻撃に対する注意喚起が出されています。
水面下で急増する背景は?
情報窃取型マルウェアの脅威が増した理由は、まずランサムウェア攻撃の起点として、成功率が高い点が挙げられます。類似の犯罪を防ぐ観点から、手口が詳細まで公開されることは少ないのですが、巧妙なメールから感染して認証情報が盗まれ、企業システムへの侵入とデータの窃取、暗号化まで許してしまうケースが多発していると推測されます。
もう一つ、大きな要因は攻撃力の進歩です。
サイバー攻撃が先鋭化した2010年代からは、100%の侵入阻止は難しくなり、多くの企業で侵入防止に加えて、内部での不審な動きを検知・対処するEDR(Endpoint Detection&Response)の導入が進みました。情報窃取型マルウェアもEDRの働きで検知され、被害は減少傾向にありましたが、攻撃側もそのまま退散するはずはありません。
例えば、機器を制御するドライバソフトの脆弱性を悪用し、ここに隠れて検知を無効化するような手口も見つかっています。正規ドライバは、判定基準を厳しくすると誤検知やシステム障害のリスクが高まるため、悪用されたときの検出が難しいとされています。ダークウェブではマルウェア本体に加えて、検知回避ツールも出回っています。セキュリティ企業も日々対策を講じていますが、この部分の攻防はしばらく続くと見ていいでしょう。
攻撃の分業化も定着
攻撃力の進化という視点では、MaaS(Malware as a Service)のような形で、分業が進んだことも挙げられます。攻撃リストの作成からマルウェアの配布など、高いスキルを持つ者でなくとも、いくつかの作業を完遂する体制が出来てきました。攻撃を実行するハードルは年々下がり、サイバー犯罪への新規参入も続くと思われます。
ダークウェブの存在も攻撃が増加する一因です。前半でも触れましたが、情報窃取型マルウェアが狙うリソースは、VPNや企業ネットワークの認証情報、Wi-Fiのパスワード、暗号資産のウォレット、クレジットカード情報などですが、これらはどこの闇サイトでも高値が付きやすい商材です。実用性が高いデータは、ダークウェブに出品して実利が得られる環境がある限り、情報窃取型マルウェアの使い手も減ることはないでしょう。
ダークウェブが犯罪のビジネス化を加速
出典:「情報セキュリティ10大脅威 2024」 情報処理推進機構(IPA)
対策の要は基本の反復と人
Googleや警察庁なども警鐘を鳴らしている2025年は、情報窃取型マルウェア、インフォスティーラーが猛威を振るう年になるかもしれません。
2020年代はリモートワークの拡大と共に、私物の端末を含め、情報機器を使うシーンが多くなりました。このような環境変化は、情報窃取型マルウェアへの対策を難しいものにしています。ネットワーク機器やサーバー側の対応だけでは攻撃は防ぎきれず、個人が使う機器の管理、そして一人ひとりの意識にかかる比重が増してくるからです。
他のサイバー攻撃と同様、この攻撃に対しても特効薬はないのですが、OSやアプリケーションのアップデート、脆弱性の早期修正など、基本的な行動に加えて、攻撃力の進歩に応じたエンドポイント型防御の強化、多要素認証の適用、そして万一の情報漏えいに備えたダークウェブモニタリングの利用も有効です。
そして一人ひとりにかかる比重の部分ですが、やはり基本の反復に行き着きます。システム側の対応と並行して、メールの添付ファイルは不用意に開かない、リンクは直ぐにはクリックしない、Office系ソフトなどのマクロ警告は「有効化」しないなど、一人ひとりへの注意喚起も滞ることがないようにしてください。