.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
** 本記事は、Infostealers: The silent doorway to identity attacks — and why proactive defense matters の翻訳です。最新の情報は英語記事をご覧ください。**
認証情報の窃取は、単なる面倒事ではありません。多くの場合、大規模な侵害へと発展する連鎖攻撃の第一段階です。
パスワードのリセットは確かに面倒ですが、それだけではありません。最近のサイバー攻撃が示すように、情報窃取マルウェアは非常に重大な二次的被害をもたらす可能性があります。
多くの中小企業では、たった 1 件の認証情報の窃取が、システムの長期停止を伴う、復旧に高額な費用を要する事態の原因となり得ます。
窃取された認証情報が実際に企業で悪用されると、その被害はさらに大きくなります。認証情報を用いたなりすましは、ビジネスメール詐欺 (BEC) やランサムウェアなどの原因となり、標的組織は完全な業務停止と復旧コストの支払いを強いられます。
情報窃取マルウェア (「インフォスティーラー」) は、標的のデバイスから機密データを密かに収集し、攻撃者に送信するマルウェアです。ユーザー名やパスワード、銀行口座情報、ブラウザの履歴など、標的システム上のさまざまなデータを窃取します。
この種のマルウェアは、ランサムウェアのように広く報道される他の脅威と比較して、通常サイズが小さく、機能も限定的です。インフォスティーラーは一般的に、検知される前に実行され、データを窃取し、自己消滅するように設計されています。
インフォスティーラーは、経験が浅くても意欲のある攻撃者であれば簡単に入手でき、高度な機能を利用することができます。Sophos X-Ops Counter Threat Unit の以前の調査によると、開発者が運営する情報窃取マルウェアのコマンドアンドコントロール (C2) サーバーへのアクセスは、月額わずか 50 ドルという低価格で提供されています。
では、窃取された認証情報はその後どうなるのでしょうか。一度ネットワークから流出した認証情報が、そのまま使われないことはめったにありません。
攻撃者は恐喝、ランサムウェア展開、ビジネスメール詐欺 (BEC)、その他の大規模サイバー攻撃など、さまざまな方法で認証情報を悪用します。
恐喝
ランサムウェア攻撃でファイルを盗み出すのと同じように、攻撃者は窃取された認証情報や個人情報をディープウェブやダークウェブのフォーラムに漏洩させないことを条件に、インフォスティーラーの標的に身代金を支払うよう脅します。
悪名高い Snowflake サプライチェーン攻撃の事例では、金銭目的の攻撃者が数百もの組織からログイン認証情報を盗み出し、各組織に対し恐喝を仕掛けました。中には 4 年も前に盗まれていた認証情報もあり、標的となった組織はこの脅威にまったく気づいていませんでした。
恐喝された組織が支払いに応じなかった場合、攻撃者は認証情報を漏洩させたり、他の攻撃者に販売したりすると脅しました。Cloud Security Alliance によると、この一連の恐喝行為は、被害組織に直接的な金銭的損失を与え、200 万ドルを超える不正な利益を攻撃者にもたらしました。
多くの標的組織にとって、これらの恐喝行為は、最初の感染から何年も経った後、何の予告もなく降り掛かってくるものです。
ランサムウェア攻撃
多くの場合、インフォスティーラーは、ランサムウェア攻撃に至る一連の攻撃の最初の段階に過ぎません。
盗まれた認証情報は、「ログ」としてパッケージ化され、ダークウェブのマーケットプレイスで販売されたり、Telegram のようなメッセージングプラットフォームを通じて共有されたりします。その後、初期アクセスブローカーがこれらのログを購入し、認証情報を検証した後、アクセス権をランサムウェア攻撃者に売り渡します。
こうして有効な認証情報を手に入れた攻撃者は、フィッシング対策や脆弱性スキャンといった従来の防御策をバイパスできます。多要素認証 (MFA) が導入されていなければ、窃取された Cookie だけでシステムに完全にアクセスできてしまうことさえあります。侵入したランサムウェアのアフィリエイトは、ネットワーク内でラテラルムーブメントを行い、機密データを外部に持ち出し、暗号化ペイロードを展開します。この活動によりシステムをロックし、身代金の支払いを要求します。
インフォスティーラーからアクセスブローカー、そしてランサムウェア攻撃者へとつながるこの犯罪のエコシステムは、まるで分業制サプライチェーンのように機能しており、各主体が攻撃の異なる段階を専門としています。この構造により、組織を侵害することがより簡単で、より速く、より利益を生むようになっています。実際、ソフォスの「ランサムウェアの現状 2025 年版」レポートにおいて、認証情報の侵害は、ランサムウェア攻撃の根本原因として 2 番目に多いものでした。
ビジネスメール詐欺 (BEC)
認証情報を窃取した当人であるかどうかにかかわらず、攻撃者はしばしば、認証情報をランサムウェアのみならずビジネスメール詐欺 (BEC) など別の詐欺にも悪用します。
BEC では、攻撃者が標的組織やその従業員になりすまし、相手が受け取るメールを本物だと信じ込ませます。
2023 年、Sophos X-Ops の Counter Threat Unit (CTU) は、インフォスティーラーを送り込みシステムを侵害することを目的としたフィッシングキャンペーンで、ホテルを狙う攻撃者を観測しました。システムが感染すると、攻撃者は、ホテルが Booking.com で使用している管理アカウントの認証情報を収集しました。
このアカウントへの直接アクセスを利用し、攻撃者は Booking.com の正規のメッセージ機能を使って、予約日時が近いゲストに連絡を取りました。彼らは、本物の予約内容に触れながら、非常に信憑性の高いフィッシングメッセージを送り、しばしば嘘の支払いを要求しました。メッセージが信頼できる送信者からのもので、実際の予約に言及していたため、多くの標的がその指示に従いました。
さらに、認証情報の侵害に関連しては活発な裏市場もできていました。CTU の研究者は、地下フォーラムで Booking.com の施設管理アカウント情報への高い需要があることを確認しました。また、他の攻撃者は、ゲストの今後の予約を閲覧し、その情報を悪意のあるメールに転用できるような、admin.Booking.com の管理ポータルへの認証情報を含むインフォスティーラーのログを要求していました。
ソフォスで認証情報を保護する方法
認証情報は、現代のサイバー攻撃におけるコントロールプレーンとなっています。サイバー犯罪者は、侵害された認証情報を悪用して機密データやシステムに不正に侵入する、巧妙な攻撃を増やしています。2024 年の Identity Defined Security Alliance (IDSA) の調査によると、過去 1 年間で 90% の組織が少なくとも 1 回、認証情報関連の侵害を経験しています。
Sophos Identity Threat Detection and Response (ITDR) は、認証情報を利用した攻撃をリアルタイムで阻止するために特別に構築されています。ITDR は、環境内の認証情報侵害リスクや設定ミスを継続的に監視するとともに、ダークウェブに関する情報を活用して、悪用される前に侵害された認証情報を見つけ出します。
組織は、プロアクティブな姿勢を取ることで防御を強化できます。攻撃が発生する前に、日頃からセキュリティ対策をしっかり行い、認証情報の防御態勢を強化するなどの予防的措置は、攻撃を監視し、進行中に阻止するなどの検知・対応策と同じくらい重要です。
認証情報と機密データが安全であることを保証するため、Sophos ITDR は、攻撃者がそれらの情報をオンラインで流出させたり、二次的攻撃に使用したりする前に、盗難または漏洩した可能性のある認証情報について警告できます。
窃取された認証情報の地下経済がインフォスティーラーによって拡大している今、組織は攻撃に利用される前に対策する必要があります。Sophos ITDR は、組織が主導権を取り戻し、脅威を早期に検知し、自信をもって対応できるよう支援します。不審なログインの発生や、不審なメールの受信を待つ必要はありません。より強力な認証情報保護に向けてプロアクティブな一歩を踏み出すためにも、今すぐ Sophos ITDR の無料トライアルを始めてください。
