インフォスティーラー：現代サイバー犯罪を牽引する静かなスマッシュ・アンド・グラブ

インフォスティーラーは、現代サイバー犯罪の支点となっています。彼らは静かに侵入し、密かに盗み、跡形もなく消えます。

このマルウェアの過去10年間の進化は、犯罪地下組織のプロフェッショナリズムの高まりと、サイバー犯罪のサービス化（cybercrime-as-a-service）の台頭を特徴づけています。彼らが提供するログは、今日の多くの侵害、個人情報の盗難、詐欺の出発点となっています。

インフォスティーラー

SpyCloud LabsのセキュリティリサーチSVPであるトレバー・ヒリゴスは、その歴史を説明します。彼のインフォスティーラーとの関わりは、米陸軍の犯罪捜査部門で働いていた時に始まり、FBIに加わった後も続き、現在はSpyCloudで継続しています。

「スティーラーは、マルウェア・アズ・ア・サービス（MaaS）によって提供されるサイバー犯罪のコモディティ化の一例です。10年前、個々のサイバー犯罪者は非常に高度な技術を持っていましたが、多くは自分たちで開発したツールを使うのではなく、それを販売することに重点を移しました。それが非常に成功し、コモディティ化されたツールセットの巨大な経済圏を生み出しました」と彼は説明します。「もはや熟練した開発者やハッカーでなくても、規模を拡大して展開すれば非常に効果的なツールにアクセスできます。誰でもMaaSマーケットプレイスから既製のマルウェアを購入またはレンタルできるのです。」

インフォスティーラーはMaaS製品の一例です。攻撃者の数を増やし、攻撃者が高度な技術を持つ必要がなくなり、また高度な開発者同士の競争も生み出します。インフォスティーラーの開発者はサービスの顧客を獲得するために、製品の改良や機能拡張を絶えず行っています。

KELAの脅威インテリジェンスアナリストであるリン・レビは次のようにコメントしています。「市場が成熟するにつれて、MaaS分野での競争が激化しています。ますます多くの開発者がこの分野に参入し、それぞれが新しいインフォスティーラーの亜種や改良されたサービスを提供して差別化を図ろうとしています。これらの提供物は、価格、ステルス機能、解析回避機能、管理パネルの使いやすさ、更新頻度などで競争しています。」

「これらのMaaSサービスの購読者は、直感的な管理パネルにアクセスできます。多くの場合、24時間365日の技術サポート、定期的な機能更新、詳細な感染ダッシュボードが備わっています。これらのユーザーフレンドリーなプラットフォームにより、マルウェア開発の専門知識が不要となり、攻撃者はペイロードの生成、感染の追跡、盗まれたデータの大規模な抽出が可能になります。RedLine、Lumma、Raccoonなどの人気インフォスティーラーは、何千人ものオペレーターによって同時に使用されており、それぞれが自分の目的に合わせて展開をカスタマイズしています。目的は認証情報の窃取から標的型侵入まで多岐にわたります。」

MaaSのプロフェッショナリズムはマーケティングにも及びます。「2022年から、一部のアンダーグラウンドフォーラムでインフォスティーラーの広告が増加し、インフォスティーラーログへの関心も高まっていることを観測しました」とGoogle Threat Intelligence Group（GTIG）のサイバー犯罪分析責任者、ジーンヴィーブ・クラークは述べています。

これが現在の状況です。継続的に改良される製品の利用が拡大しています。「初期のインフォスティーラーはキーロガーに毛が生えた程度のものでしたが、2025年にはセキュリティ対策技術を備えた、即戦力の認証情報収集システムに進化しています」とSectigo上級フェローのジェイソン・ソロコは説明します。

盗まれる情報

「もはや保存された認証情報だけではありません。多くはハードウェアID、個人文書、ブラウザのセッションクッキー、その他のフィンガープリントデータも抽出します。ULP（ユーザーログインパーサー）は、これらのログに同梱されたり、軽量な亜種として提供され、URL、ユーザー名、パスワードのエントリーが含まれており、すぐに利用可能です」とBreachAwareのCEO、アンドリュー・オルストンはLinkedInでコメントしています。

「著名なインフォスティーラーは通常、ブラウザデータ（保存されたパスワード、セッションクッキー、閲覧履歴など）や、人気のメッセージングアプリ、VPN、FTPアプリ、ゲームアカウント、暗号通貨ウォレットなどからの機密情報も抽出・流出させます」とクラークは付け加えます。

「一部のインフォスティーラーは、任意コードの実行などの基本的なバックドア機能も持っています。これらのコア機能は比較的一貫していますが、インフォスティーラーの開発者は、これらのデータの収集や復号を困難にする新しいセキュリティ対策に対応して、ツールを定期的に更新しています。」

インフォスティーラーは標的型で使われることもありますが、ほとんどの場合は無差別にできるだけ多くの情報を集めるために使われます。攻撃者はデータを「ログ」と呼ばれる盗難データファイルにまとめます。これらのログはアンダーグラウンド市場や犯罪コミュニティで広く共有・販売されます。

「インフォスティーラーログからアクセス権を得る大きな利点は、攻撃者が自分の目的に応じて特定の種類のアカウントを探せることです。インフォスティーラーの広範な配布と、被害者から収集できる情報の幅広さが、攻撃者に膨大な認証情報や機密情報を提供します」とGTIGのプリンシパル脅威インテリジェンスアナリスト、ザック・リドルは説明します。

このモデルにより、ログの購入者は膨大な量の中から自分の求める質を検索できます。ある犯罪者は企業VPNの認証情報を探し、ネットワーク内でのさらなる横展開の足掛かりとします。別の者は恐喝や不正な暗号通貨マイニングのためのクラウド資産アクセスなど、他の目的に合わせたアクセスを求めます。

例えば、Google Cloudのチームは2023年からGTIGで「Triplestrength」として知られる攻撃者を追跡しています。標的は暗号通貨マイニング用のクラウドリソースで、盗まれた認証情報を利用してアクセスを得ています。「攻撃者が所有するインフラの分析に基づき、GTIGは攻撃者が少なくとも一部の盗まれた認証情報やクッキーのソースとしてRaccoonインフォスティーラーログに依存していたと判断しています。攻撃者はGoogle Cloud、AWS、Linodeの認証情報にアクセスしていました。さらに、Mandiantはこのグループに関連する人物がGoogle Cloud、AWS、Azure、Linode、OVHCloud、Digital Oceanなどのサーバーへのアクセスを日常的に宣伝しているのを観測しています」とリドルは述べています。

一部の攻撃グループは自分たちの今後の活動のためにインフォスティーラーでアクセス権を得ますが、一般的にはインフォスティーラーとアクセス仲介はMaaSマーケットプレイスで密接に結びついています。

運用方法

これでインフォスティーラーの進化と目的は説明できますが、彼らの成功を説明するものではありません。その成功の主な要因は「スピード」と「ステルス性」の2つです。インフォスティーラーは、他の窃盗よりも、静かなハイストリートの宝石店でのスマッシュ・アンド・グラブ（窓を割って宝石を奪い、すぐ逃げる）に例えられます。窓を割る（侵入）、宝石を奪う（情報を収集）、素早く逃げる。

唯一の大きな違いは、成功したインフォスティーラーは犯罪が行われた証拠を一切残さないことです。窓を割らずに宝石にアクセスし、誰の目にも触れずに消えます。これは数分で終わることも多い、極めてステルスなスマッシュ・アンド・グラブです。

ステルス性は極めて重要です。被害者が被害に気付けばパスワードを変更し、盗まれた認証情報の価値は大きく下がります。攻撃プロセスは、静かな侵入、ステルスな動作、気付かれないデータ流出、痕跡の消去です。

フィッシングは依然として初期アクセス獲得の主要な手段です。しかし、これは単に銀行情報など一つの目的のための認証情報を盗むだけではありません。インフォスティーラーは全てを狙います。例えば、偽のCAPTCHAやソーシャルエンジニアリングを使ってインフォスティーラーを配布する手口が増えています。典型的な攻撃は、被害者を偽サイト（有名ドメインのクローンサイトなど）に誘導するものです。

偽ページは偽のCAPTCHAを表示します。多くのウェブサイトがボット対策としてCAPTCHAを使っているため、ターゲットは驚きません。しかし、ターゲットが「私はロボットではありません」ボタンをクリックすると、偽ページはLOLBINコマンドをターゲットのクリップボードにロードします。例えば難読化された悪意あるPowerShellコマンドなどです。

ターゲットは、その後CAPTCHAから「人間性」の証明を求められても驚きません。ここで攻撃者のソーシャルエンジニアリングの腕が問われます。ターゲットに「ファイル名を指定して実行」ダイアログを開かせ、CTRL-V、ENTERを押させる必要があります。これが成功すると、インフォスティーラーは物理ストレージに触れることなくメモリ上に直接ロードされ、標準的なマルウェア検知からは見えなくなります。

この手法は、ユーザーがCAPTCHAで何らかの操作を求められることを予期しているため、また頻繁な要求にうんざりして早く終わらせたいという心理から、成功しやすいのです。LummaやVidarは、偽CAPTCHAキャンペーンで配布されたことが知られています。

一度メモリ上にロードされると、インフォスティーラーは被害者のシステムから狙ったデータを探し出します。このデータはしばしばZIPやアーカイブで圧縮され、1つのファイルにまとめられます。ファイルは検知を避けるため暗号化され、攻撃者に送信されます。

最近では、TelegramやDiscordなどの正規チャットサービスが送信先として使われることが増えています。あるいはDropbox、Google Drive、OneDriveなどのクラウドストレージサービスを使い、攻撃者が管理するアカウントにデータを受け取る場合もあります。

マルウェアはメモリ上で動作し、データ流出も気付かれず、コンテンツを検査するセキュリティツールにも見つからず、信頼された宛先に送信されます。受信後、攻撃者はデータを収集・整理し、「ログ」として犯罪市場で販売します。

「これらのログに含まれるアカウントやサービス、例えば企業のVPN認証情報や他のエンタープライズサービスは、ネットワーク内でさらなる横展開の足掛かりとなります」とリドルは説明します。「また、攻撃者はデータ窃取や恐喝目的のシステム、違法な暗号通貨マイニング用のクラウド資産など、他の作戦に合わせたアクセスをインフォスティーラーログから探すこともあります。」

インフォスティーラーが最後に行うのは、被害者のシステムから自身の痕跡を消すことです。「完了時に実行されるモジュールがあり、バイナリや流出予定のファイルを削除します」とヒリゴスは説明します。技術的には、削除されたファイルも短期間ならフォレンジックで検出可能ですが、成功したインフォスティーラー攻撃では誰もそれを探しません。

「実行されると、ブラウザ保存パスワード、クラウドセッションクッキー、シングルサインオンのトークン、暗号通貨ウォレットキー、MFAリカバリーコード、選択された文書ファイルを収集します」とソロコは述べます。「その後、すべてを圧縮・暗号化し、1分以内にコマンドサーバーやTelegramボットに送信し、しばしば自分自身を削除するか、ランサムウェアのスタブに制御を渡します。」

犯罪市場で入手できるインフォスティーラーログは、通常は金銭目的の犯罪者によって取得されますが、国家主体の攻撃者にも利用されることがあります。「インフォスティーリングは主に金銭目的の犯罪活動ですが、漏洩した認証情報の入手のしやすさや標的の重複の可能性から、国家主体の攻撃者もダークウェブの認証情報を利用しています。なぜなら、初期アクセスの隠れ蓑になるからです」とOntinueの脅威対応ディレクター、バラージュ・グレクサはコメントしています。

まとめ

インフォスティーラーの規模とスピード――数分で現れて消えることも多い――は、その行動がもたらす潜在的な影響を覆い隠しています。例えば、個人の従業員が自宅の私物端末で作業していても、ブラウザによるパスワード同期のおかげで雇用主の企業ネットワークにアクセスできる場合があります。

「2024年4月、金銭目的の脅威アクターUNC5537は、盗まれた認証情報を使って複数組織のSnowflakeカスタマーインスタンスにアクセスしました」とリドルは述べます。「これらの認証情報は主に、従業員や契約者の業務用または私用PCが感染したインフォスティーラーマルウェアキャンペーンから取得されました。これにより脅威アクターは被害カスタマーアカウントにアクセスし、それぞれのSnowflakeカスタマーインスタンスから大量の顧客データを窃取しました。その後、脅威アクターは多くの被害者に直接恐喝を試み、盗まれた顧客データをサイバー犯罪フォーラムで販売しようとしました。」

Snowflake侵害は2024年の主要なサイバーインシデントの一つでした。2024年6月、Mandiantはその後約165組織が影響を受けたと報告しています。「Mandiantは、インフォスティーラーとそれがもたらす短期間ながらも深刻な侵入への関心が高まっていることを確認しています。特に、Mandiantは2024年に対応したインシデントの16%で、初期アクセスに盗まれた認証情報が使われていたと判断しました。これは2023年の10%から増加しています」とリドルは続けます。

「悪意あるアクターによるインフォスティーラーへの最近の注目の高まり――そしてそれに伴うサイバーセキュリティ組織の関心――は、サイバー犯罪者がインフォスティーラーから得たデータを悪用・収益化する手法に大きな変化をもたらす可能性があります。私たちは、さまざまな動機や技術レベルのアクターが、盗まれた認証情報を初期侵入ベクトルとして活用することに今後も大きな関心を示し続けると予想しています。インフォスティーラーがアンダーグラウンドコミュニティや違法活動で広く長く利用されていることを考えると、組織はインフォスティーラーがもたらす直接的・間接的リスクを認識しなければなりません。」