情報窃取型マルウェア
インフォスティーラーの脅威と対策

前回、証券口座の乗っ取りと多要素認証(MFA※1)の重要性について説明した。今回は、証券口座などの認証情報を窃取する「インフォスティーラー」とその影響について解説する。

インフォスティーラーという脅威

 インフォスティーラーは、PCに感染させ、権限昇格やキーロガー、脆弱性悪用などの手法を用いて認証情報など機密情報を収集するマルウェアだ。「RedLine」「Raccoon」「Vidar」「Lumma Stealer」などが代表的で、いずれも窃取した情報を外部へ転送する。収集対象には以下のようなものがある。

・Webブラウザーやアプリに保存されているログイン情報
・Cookie情報
・暗号資産ウォレット情報
など

 例えばWebブラウザー「Microsoft Edge」に保存されているID・パスワードは、暗号化された状態で保存されており、ユーザーがWindowsパスワードを入力することで、[設定] – [プロファイル] – [パスワード]から参照できる。しかし、インフォスティーラーがPCに入り込むと、Windowsにログインしているユーザーの権限を利用して、暗号化された認証情報を復号して盗むことができてしまう。

インフォスティーラーの感染経路

 感染経路は、フィッシングメールの添付ファイル、偽アプリ、偽サイトからのダウンロードなどだ。最近では無料ゲームやインターネット広告が多く出回っているため、騙されやすい状況にあるといえる。前述のLumma Stealerは、より巧妙な手法を用いて、偽のCAPTCHA※2認証操作により感染させる。その動きを解説する。

【Lumma Stealerの動き】
 まずCAPTCHA認証として「私はロボットではありません」画面が表示され、チェックするとクリップボードにLumma Stealerの起動プログラムが書き込まれる。次に指示画面が表れ、Windowsキー+Rキーを押下すると「ファイル名を指定して実行」画面が表示される。続いてCtrlキー+Vキーを押下すると、クリップボードに書き込まれたLumma Stealerの起動プログラムが、「ファイル名を指定して実行画面」の「名前[O]」ボックスに貼り付けられる。そして、Enterキーを押下するとLumma Stealerが実行される(図参照)。

 Lumma Stealerは2025年5月、FBIやユーロポールなどによって摘発された。しかし「Emotet」やRedLineのように復活する可能性があるため、注意が必要だ。

Lumma Stealerの動き

流出した認証情報による被害と対策

 窃取された認証情報は闇市場で売買される。証券口座やECサイトでの不正アクセスなどによる個人被害だけでなく、企業にも多大な影響がある。VPNやクラウドサービスの認証情報が盗まれた場合、企業内ネットワークへの侵入や情報窃取が行われる。メールアドレスが盗まれると、ビジネスメール詐欺や拡散にも悪用される可能性がある。主な対策について、個人、企業の観点で列挙する。

【個人としての対策】
1.フィッシングメール対策:不審なメールの添付ファイルやリンクをクリックしない。送信者が不明または、心当たりがない場合は注意が必要だ。企業からの案内メールなど、内容を確認したい場合は直接企業のWebサイトや企業のアプリで確認する。
2.偽アプリ、偽広告対策:無料ゲーム、魅力的なアプリ、便利なソフトウェアなど不用意にインストールしない。安易な広告クリックにも注意。
3.パスワード管理:パスワードは使い回さず、サービスごとに異なるものを設定。不便でも、WebブラウザーへのID・パスワード保存は使わず、パスワード管理ソフトウェアを利用する。
4.MFA:生成AIによるCAPTCHA認証突破(生成AIによる人間であることの確認突破)やリアルタイム型フィッシング(メールやSMSを利用したワンタイムパスワード窃取)が発生しているため、MFAを設定。
5.マルウェア対策ソフトウェア導入:定期的に更新し、感染リスクを低減。
6.フリーWi-Fiの利用を避ける:フリーWi-Fiは、偽装アクセスポイントの可能性もあり、フィッシングサイトへの誘導やID・パスワードの窃取につながることもある。

【企業としての対策】
1.従業員教育:フィッシングやマルウェアのリスクについて啓発。
2.パスワードポリシー策定:私用と公用でのパスワードの使い回し禁止、WebブラウザーへのID・パスワード保存禁止などポリシーを策定。可能であればパスワード管理ソフトウェアや強固なMFAを用いたシングルサインオンを活用する。
3.定期的なセキュリティチェック:定期的なシステムの脆弱性チェックを実施。ID・パスワードなどが外部サイトに漏えいしていないかの監視も重要だ。
4.EDR/XDRの導入:不審な挙動をリアルタイムで検知・対応可能な仕組みを導入する。

多層防御による対策強化を

 インフォスティーラーは個人や企業にとって深刻な脅威だ。単一での対策は困難であるため、多層的な考え方で個人のセキュリティリテラシー向上と、企業経営陣の理解による対策強化を実施しなければならない。日本国内での被害が急増していることから、速やかな対策が必要だ。

※1 Multi-factor Authentication:不正ログインなどを防ぐために二つ以上の要素を組み合わせて本人認証を行う認証方式。
※2 Completely Automated Public Turing test to tell Computers and Humans Apart:チャレンジ/レスポンス型テストの一種で応答者がBotではないことを確認するために利用される。