インフォスティーラーが正面玄関の鍵を差し出してくれる今、ハッカーはわざわざ窓を破る必要もありません。
インフォスティーラーは、攻撃者が盗み出す認証情報の主要な入手源となっています。こうして入手した認証情報を使うことは、まるで招待された来客のようにターゲットに侵入できることから、悪意のある攻撃者に好まれる手口となっています。強引に侵入するよりも素早く、手間がかからず、痕跡も残りにくく、そして効果的です。
Flashpointの報告によると、2025年にインフォスティーラーに感染したデバイスは1,110万台以上にのぼります。現在、33億件を超える認証情報、ブラウザの痕跡情報、セッション情報、その他の各種IDデータが不正市場に流通しています。これらはターゲットへの入口を提供するだけでなく、セキュリティ対策に引っかかることなく、価値あるデータへの正規アクセスを可能にするケースも多くあります。
Flashpointは30種類を超えるインフォスティーラー(以下「スティーラー」)の固有株を確認しています。「個別の」スティーラー数を正確に把握することは難しく、おそらくあまり意味もないでしょう。新種が次々と登場し、既存のものが派生種を生み、法執行機関が別のものを摘発・妨害するといった具合に、地下市場は毎日のように変化しているためです。
スティーラーはアンダーグラウンドのエコシステムで入手可能であり、マルウェア・アズ・ア・サービス(MaaS)を通じて月額わずか60ドルから利用できるものもあります。2025年に最も猛威を振るったスティーラーは、多い順にLumma、Acreed、Rhadamanthys、Vidar、StealCでした。ただし、この勢力図は急速に変化します。2026年の最初の2か月間では、Vidarが4位から急上昇して支配的な地位を占め、感染ホスト・デバイス全体の73%以上を占めるに至りました。2025年に首位だったLummaは、わずか1.1%にまで落ち込んでいます。
攻撃者はスティーラーを入手したら、ターゲットのデバイスに感染させる必要があります。侵入を狙うネットワークに接続されているデバイスであれば、そこから得られる機密情報が他の領域へのアクセスに使えるため、基本的にどのデバイスでも標的になり得ます。最も一般的な配布手段は、デスクトップやノートパソコンを使用する不特定多数のユーザーに対するソーシャルエンジニアリング攻撃です。統計的に見れば、どこかで成功するのはほぼ確実と言えます。
スティーラーごとに動作プロセスや窃取するデータは異なりますが、実際に盗まれるデータは以下のカテゴリのいずれかに該当します。
まず、自分がサンドボックス環境(セキュリティ制御によって存在を検知された状態)で動作しているかどうかを確認するものもあります。その場合、企業の防衛システムに検知されないよう、即座に活動を停止することがあります。
静的解析ツールによる検知を回避するため、文字列の暗号化や難読化を施したコードを使用するものもあります。復号処理はメモリ上で行われるため、平文が見える時間はごくわずかです。これにより、シグネチャベースの検知が困難になります。
次に、スティーラーはメモリ上にある段階で収集対象のデータを取得し始めます。収集するのは基本的に、設計者が最も換金しやすいと判断したものです。認証情報が主な標的であり、ウェブサイトのパスワード、企業向け認証情報(VPN、RDP、VNC、ウェブメール)、SaaSのログイン情報、クラウドプラットフォームの認証情報、メールアカウント、パスワードマネージャーのデータ、そして氏名・電話番号・メールアドレスといった個人情報を含む可能性のあるオートフィルデータなどが対象となります。
さらに、ブラウザのクッキー、有効なセッショントークン、クラウド・SaaSのセッションアーティファクトも窃取されることがあります。スティーラーはインストール済みの拡張機能やユーザーエージェントを含む有用なブラウザデータを幅広く探します。また、ブラウザやデスクトップアプリから、ウォレットシードや秘密鍵といった暗号資産ウォレットの情報、さらに見つけられるクレジットカードデータも盗み取ります。
スティーラーはシステムのメタデータ(OSバージョン、ハードウェア情報、IPアドレスなど)も収集します。データとメタデータを組み合わせることで、スティーラーは単なる個人情報の窃取にとどまらず、その「コンテキスト」まで丸ごと奪い取るのです。
スティーラーは収集したデータを関連ファイル(「スティーラーログ」と呼ばれる)にまとめます。企業のDLPから内容を隠蔽するために圧縮・暗号化したうえで、攻撃者が管理するウェブサーバーに送信することもあります。
攻撃者はこのログを換金します。自分で直接利用することもありますが、より一般的なのは犯罪グループへの売却です。こうしたグループによる一般的な利用方法は、盗んだIDを使って検知されずにシステムへ侵入し、発見・ブロックされる前にランサムウェアを展開・実行することです。スティーラー感染から身代金要求までの流れは、多くの場合、驚くほど短い時間で完結します。
スティーラーは使い勝手がよく、検知・ブロックが難しく、その被害は凄まじいものがあります。被害者の多くは、自分の(盗まれた)認証情報によって侵害されるまで、自身が被害者であることに気づきません。それ以外に被害を把握できる手段といえば、不正市場で認証情報が取引されているのを脅威インテリジェンスが検知するケースに限られます。しかし、それは被害を防ぐことにはならず、すでに被害者になっているという事実を確認するに過ぎません。
翻訳元: https://www.securityweek.com/infostealers-turn-millions-of-devices-into-credential-theft-machines/
