情報窃取
マルウェア
インフォスティーラーの
脅威と対策
ソリトンシステムズのサイバー空間アナリティクスチームがインターネット上に漏えいしているアカウント情報を分析したところ、インフォスティーラーと呼ばれる情報窃取型マルウェアが大量の個人パソコンからアカウント情報を窃取し、巧妙な犯罪エコシステムによって攻撃者に販売されている実態が浮かび上がりました。
なぜ個人のパソコンから業務パソコンのログイン情報が漏えいするのか、そのメカニズムと対策について考えます。
インフォスティーラー
(Infostealer)とは
インフォスティーラーは情報窃取型マルウェアと呼ばれ、それ自体は新しいものではなく2010年代には既に知られたマルウェアでした。このマルウェアは標的型メールの添付ファイルやマルウェア配布を目的とした広告バナー(マルバタイジング)といった古典的攻撃経路のほか、海賊版ソフトウェアや、ユーザーの射幸心に付け込んだゲームチート/MODから感染させる手法などそのルートを多様化させています。
そして、このマルウェアはひとたび感染すればパソコンに保存してある認証情報(ID・パスワード)はおろかクレジットカードの決済情報、キーロギング(キーボード入力履歴)、重要画面のスクリーンショット等、パソコンの所有者に後々危害を与えるのに十分すぎる情報を盗み出す極めて悪質なマルウェアです。
これらのマルウェア配布の首謀者たちはインフォスティーラーが窃取してきたデータセット(スティーラーログ)をマネタイズするための販路を構築しています。この販路としてこれまでのメインストリームはDark Webでしたが、2023年以降特にスティーラーログの取引が目立つプラットフォームがシークレットチャット/メッセージアプリの「テレグラム」です。
ソリトンのサイバー空間アナリティクスチームが把握しているだけでも現在テレグラム上には50以上のスティーラーログの取引用チャンネルが存在しており、ある出品者はスティーラーログのサンプルを無償公開したうえで80ドル~550ドルの有料プランを用意するというマーケティングテクニックでマネタイズを図り、中には学生と思しき出品者まで存在するほどです。
マネタイズプラットフォームとしてのテレグラムの登場は、スティーラーログの拡散元がこれまではDark Webというある意味アクセスが制限された特殊環境にあったものが、メッセージアプリというフリーアクセス領域に拡大したことを意味します。これは出品者・購入者にとってはお互いをつなぐ結節点がDark Webよりも身近になった点で画期的な出来事でありましたが、翻って善良な個人や企業にとっては窃取されたデータがサイバー攻撃者の手に渡り、自らが攻撃のターゲットとなる脅威の増大にほかならず、サイバー攻撃全般に対する警戒レベルをまた一段引き上げなければならないステージに移行しつつあるとソリトンは考えています。
| 発見 時期 |
スティーラー ログの名称 |
ログに含まれる アカウント件数 |
データセットの 内容 |
説明 |
|---|---|---|---|---|
| 2020 | Arkei Stealer |
50万件 | クレジットカード番号 ログインURL ログインユーザ ログインパスワード |
インフォスティーラーが12000台のパソコンから窃取した個人情報。スクリーンショットやデスクトップのファイル、ブラウザに保存された情報が含まれる。 |
| 2023 | Naz.API |
3.7億件 | メールアドレス 平文パスワード アカウント名 URL |
ハッキングフォーラムに「Naz.API」というタイトルの投稿がありインフォスティーラーによる3.7億件のデータセットが公開されたもの。 |
| 2023 | LinkCloud- 2023-12 |
22億件 | メールアドレス 平文パスワード アカウント名 URL |
LINK CLOUDと名乗る者がテレグラムの公開チャネルで共有した22億件のURLおよび認証情報。66個の圧縮(RAR形式)でファイルが共有されていた。 |
| 2024 | LinkCloud- 2024-02 |
2.7億件 | メールアドレス 平文パスワード アカウント名 URL |
LINK CLOUD-2023-12の関連ファイルと思われるデータセット。2024年にインターネット(表層ウェブ)で発見された。 |
| 2024 | LinkLoginPass- 240GB |
9400 万件 |
メールアドレス 平文パスワード アカウント名 URL |
テレグラムの公開チャネルで共有した240GBのURLおよび認証情報。公開元はテレグラムだがこのファイルはオーストラリアの共有ストレージで発見。 |
| 2025 | textbases- 2024 |
2500 万件 |
メールアドレス 平文パスワード アカウント名 URL |
2024年の1年間にテレグラムに公開された50個のスティーラーログ。非公開のデータは1週間85ドルでアクセス権を販売していた。 |
ソリトンのサイバー空間アナリティクスチームが分析した主なスティーラーログ
- 発見時期:2020
- ・スティーラーログの名称:Arkei Stealer
- ・ログに含まれるアカウント件数:50万件
- ・データセットの内容:クレジットカード番号、ログインURL、ログインユーザ、ログインパスワード
- ・説明:インフォスティーラーが12000台のパソコンから窃取した個人情報。スクリーンショットやデスクトップのファイル、ブラウザに保存された情報が含まれる。
- 発見時期:2023
- ・スティーラーログの名称:Naz.API
- ・ログに含まれるアカウント件数:3.7億件
- ・データセットの内容:メールアドレス、平文パスワード、アカウント名、URL
- ・説明:ハッキングフォーラムに「Naz.API」というタイトルの投稿がありインフォスティーラーによる3.7億件のデータセットが公開されたもの。
- 発見時期:2023
- ・スティーラーログの名称:LinkCloud-2023-12
- ・ログに含まれるアカウント件数:22億件
- ・データセットの内容:メールアドレス、平文パスワード、アカウント名、URL
- ・説明:LINK CLOUDと名乗る者がテレグラムの公開チャネルで共有した22億件のURLおよび認証情報。66個の圧縮(RAR形式)でファイルが共有されていた。
- 発見時期:2024
- ・スティーラーログの名称:LinkCloud-2024-02
- ・ログに含まれるアカウント件数:2.7億件
- ・データセットの内容:メールアドレス、平文パスワード、アカウント名、URL
- ・説明:LINK CLOUD-2023-12の関連ファイルと思われるデータセット。2024年にインターネット(表層ウェブ)で発見された。
- 発見時期:2024
- ・スティーラーログの名称:LinkLoginPass-240GB
- ・ログに含まれるアカウント件数:9400万件
- ・データセットの内容:メールアドレス、平文パスワード、アカウント名、URL
- ・説明:テレグラムの公開チャネルで共有した240GBのURLおよび認証情報。公開元はテレグラムだがこのファイルはオーストラリアの共有ストレージで発見。
- 発見時期:2025
- ・スティーラーログの名称:textbases-2024
- ・ログに含まれるアカウント件数:2500万件
- ・データセットの内容:メールアドレス、平文パスワード、アカウント名、URL
- ・説明:2024年の1年間にテレグラムに公開された50個のスティーラーログ。非公開のデータは1週間85ドルでアクセス権を販売していた。
情報漏えい対策の盲点
これまでもソリトンは、従業員のアカウント漏えい、すなわち外部のウェブサービスに登録したアカウント情報(メールアドレス/パスワード)の漏えいが不正アクセスに悪用されるリスクを繰り返し発信してきました。しかし、これまでのアカウント漏えい事象は漏えい元がECサイトやSNSといった「外部のWebサービス」であったのに対し、インフォスティーラーは個人のパソコンに保存してあるデータの漏えいという点で脅威レベルの深刻さが別次元です。
特にインフォスティーラーはブラウザに保存されている情報を窃取するところにその特徴があり、営業支援、販売管理、経理、人事等あらゆる業務領域でブラウザベースの業務支援アプリケーションが導入されている今日では、ユーザーがブラウザに保存している URL/UserName/Password こそ、インフォスティーラー垂涎のターゲットとなっているのです。
厄介なことに、現行のブラウザにはサインインすることでお気に入りのURLやログインパスワード、閲覧中の画面等を他デバイスと同期する機能があり、これを無自覚に有効化していると業務用パソコンのブラウザに記憶させていた様々なアプリケーションのログイン情報を、自宅のプライベート用のパソコンに同期させてしまいます。つまりは、同期機能によってセキュリティの脆弱なプライベートのパソコンに業務システムのログイン情報が保存されることとなり、万一プライベートのパソコンがインフォスティーラーに汚染されれば、同期していた業務システムのログイン情報を丸ごと攻撃アクターに手渡すこととなるのです。
インフォスティーラーの脅威と対策
(動画:2分28秒)
企業側がとるべき対策
インフォスティーラーによる業務システムのログイン情報漏えいに対し、企業はどのように備えるべきでしょうか。
2024年のNordPassの調査によれば、職場における1人あたりの平均パスワード保有数は87個とも言われており、(※1)これらログイン情報が、インフォスティーラーに窃取された後に起こりうる不正アクセスのリスクを私たちは過少評価すべきではありません。事実、2023年度にサイバーインシデントの被害を受けた企業の36.8%はその手口について「ID・パスワードをだまし取られてユーザーになりすまされたことによる」と回答(※2)しており、ログイン情報の漏えいは遠からず「なりすまし」による不正アクセスを呼び込むという前提に立脚すれば、情報システムの認証にパスワードだけに依存しない多要素認証(MFA)を採用することはインフォスティーラー対策の1つの明確な解となるでしょう。
ここではソリトンのクラウドSSOサービス「Soliton One Gate」を例にインフォスティーラー対策としての多要素認証を説明します。
https://nordpass.com/blog/how-many-passwords-does-average-person-have/
https://www.ipa.go.jp/pressrelease/2024/press20250214.html
■ ソリトンが掲げる「MFAの最適解」
~Soliton OneGate~
多要素認証は従来認証より高度なセキュリティを実現することが可能ですが、パスワード漏えい対策として多要素認証を採用するにあたっては、それに最適な認証要素を選択することが大切です。
例えば前述のインフォスティーラーはブラウザのCookieを窃取することが知られていますが、窃取したCookieによるAiTM(中間者)攻撃においては、一部の多要素認証を突破する被害例も報告されており、多要素認証が導入されていれば全てにおいて安心とは言い切れません。こういった攻撃事例も踏まえ、よりセキュアな多要素認証の構成要素としてソリトンはデジタル証明書を用いた端末認証との組み合わせを最適解として提唱しています。
ソリトンのクラウドSSOサービス「Soliton OneGate」では、パスワードだけに依存しない認証環境を実現するとともに、万一インフォスティーラー等によってパスワードが窃取されたとしても、デジタル証明書をインポートした端末に限定して社内システムへのアクセスを許可することで本人以外の者が不正にログインできない環境を構築できます。さらにそこから発展して、業務で利用するクラウドサービスとOneGateをSSO連携すれば、全ての業務アプリケーションの認証をデジタル証明書認証として、より強固な認証セキュリティ環境を実現可能です。
■ 従業員のパスワード漏えい状況の調査
~Soliton 漏えいアカウント調査レポート~
パスワードの漏えいはインフォスティーラーだけとは限りません。業務で普段使用しているWebサービスが、サイバー攻撃によって侵害されることでアカウント情報(パスワードやメールアドレスなどの情報)が漏えいすることがあります。
漏えいアカウント調査レポート」は、ソリトンのサイバー空間アナリティクスチームが従業員のパスワード漏えい状況を調査して報告するサービスです。従業員のパスワード漏えい状況を把握し、危険なパスワードの利用をいち早く止めることもまた、地味ながら効果ある不正アクセス対策です。また、漏えいしたパスワードが自社のアタックサーフェス(攻撃対象領域)上のWebアプリケーションやVPN機器等への攻撃に使用されるリスクを考え、アタックサーフェスマネジメント(ASM)を実施してリスクの早期発見/排除を行うことも有効な一手です。
Soliton 漏えいアカウント調査レポート
インフォスティーラー被害
無償調査実施中
ソリトンのサイバー空間アナリティクスチームが分析した6つのスティーラーログ(窃取アカウント総数 29億件)に、従業員のアカウントが存在しないかを無償でお調べ致します。お問合せフォームよりお気軽にお申込みください。
■調査対象とするスティーラーログ
ArkeiStealer/Naz.API/LinkCloud-2023-12/LinkCloud-2024-02/LinkLoginPass-240GB/textbases-2024
■注意事項
- 調査対象ドメインは、依頼者が所属する企業ドメインに限ります
- 調査結果は件数のみとなります
- 調査はOSINT手法を用いて行います
- 全ての漏洩を網羅しているものではありません
- お申込み時には、こちらのサービス利用規約をご確認ください
