フィッシングの手口が変わってきています。サイバー犯罪者たちは、じわじわとインフォスティーラーへの移行を進めています。
従来型のフィッシングがなくなったわけではありません。依然として広く行われています。しかし多くの攻撃者は、もはや偽のログインページでユーザー名とパスワードを入力させることだけに注力していません。代わりに、インフォスティーラーを活用して、感染したデバイスからパスワードやCookie、ブラウザデータ、その他の機密情報を密かに収集する手法が広まっています。
この手法が注目される理由は、スケールしやすく、手間が少ない点にあります。被害者が偽サイトに認証情報を入力するのを待つ必要がなく、マルウェアがブラウザに保存されたログイン情報、セッショントークン、オートフィルのデータ、暗号資産ウォレットの詳細、さらには有用な情報を含むファイルまで、自動的に収集します。
この手口は攻撃の痕跡が見えにくい点も特徴です。従来のフィッシングメールには不審なリンクや偽のログインページ、怪しい添付ファイルといった明らかな手がかりが残りがちです。一方、インフォスティーラーは異なります。悪意のあるオンライン広告(マルバタイジング)や海賊版ソフトウェア、偽のブラウザアップデート、ゲームのチートツール、怪しいダウンロードサイトなどを経由して侵入し、インストール後はバックグラウンドで動作しながら、被害者のデバイスに保存されたあらゆる情報を窃取します。
こうした変化の一因として、多要素認証(MFA)の普及が挙げられます。セッションCookieを盗むことで、サイバー犯罪者はMFAを回避し、パスワードや認証コードなしにアカウントへアクセスできるようになります。
もう一つの要因は、マルウェア・アズ・ア・サービス(MaaS)エコシステムの台頭です。インフォスティーラーは導入コストが低く、スケールが容易で、収益性が非常に高いという特徴があります。攻撃チェーン全体を自分で構築するのではなく、多くの犯罪者がアンダーグラウンドの販売業者から既製のスティーラーキット、ローダー、または初期アクセスサービスを購入しています。これにより参入障壁が下がり、技術力の低い攻撃者でも認証情報の窃取活動を展開できるようになっています。
多くのケースで、インフォスティーラーは大規模な犯罪活動の最初の段階にすぎません。盗まれたデータは収集・パッケージ化され、収集した情報に関心を持つ他の犯罪者に販売されます。購入者は詐欺、アカウント乗っ取り、ビジネスメール詐欺(BEC)、ランサムウェアなどをそれぞれ専門としています。感染した1台のデバイスが複数の収益源を生み出す可能性があります——認証情報は別の買い手に、セッションCookieはまた別の買い手に、そして企業へのアクセス権やウォレットデータはさらに別の買い手に売られます。
こうした分業体制が、インフォスティーラーが根強く残り続ける理由の一つです。オペレーターはコードを更新し、インフラを入れ替え、新たなキャンペーンを最小限の手間で展開できます。一方、アフィリエイトはフィッシングやマルバタイジング、偽ダウンロード、ソーシャルメディアの誘導を通じて配布を担います。
身を守るための対策
インフォスティーラーはマルバタイジングや偽のブラウザアップデート、ワンクリックダウンロードを通じて侵入することが多いため、広告やポップアップには適度な懐疑心を持つことが大切です。個人的なアドバイスとして、スポンサー広告は絶対にクリックしないでください。代わりに公式ウェブサイトに直接アクセスし、ソフトウェアは公式ベンダーサイトやアプリストアなど信頼できるソースからのみダウンロードしてください。
近年急増しているもう一つの手口がClickFixです。これはユーザー自身に自分のデバイスを感染させてしまうよう誘導するソーシャルエンジニアリング攻撃です。ウェブサイト、メール、メッセージからコピーしたコマンドやスクリプトは、その出所を信頼しており、操作の目的を理解している場合を除いて、絶対に実行しないでください。ウェブサイトからコマンドの実行や技術的な操作を求められた場合は、実行前に公式ドキュメントを確認するか、サポートに問い合わせてください。
海賊版ソフトウェア、ゲームのチートツール、クラック済みツールは、依然としてインフォスティーラーの最も一般的な配布手段の一つです。こうしたダウンロードファイルには、目的のソフトウェアと一緒にマルウェアが同梱されていることが多くあります。同様の注意が、多くのブラウザ拡張機能やアドオンにも当てはまります。追加機能や利便性をうたうものには特に注意が必要です。評判の良い開発者の拡張機能のみを利用し、レビューや要求される権限をよく確認した上で、明らかに必要以上のアクセス権を求めるアドオンのインストールは避けてください。
フィッシングメールは依然として大きな脅威ですが、焦らず確認する習慣を身につけることで、多くを見抜くことができます。信頼できるブランドから届いたように見えるメールであっても、添付ファイルや未知のリンクには慎重に対応してください。特に、ファイルを開くよう促したり、緊急のインストールを求めたり、支払い問題の解決を急かしたりするものには注意が必要です。不審に感じたら、送信者のアドレスを確認し、誤字脱字や不自然な文章がないかチェックし、メール内のリンクではなく企業の公式ウェブサイトなど別の経路からリクエストの真偽を確認してください。
