情報窃盗犯 ― 予防と軽減策とは?

情報窃盗マルウェアは、コンピュータシステムに侵入して、ログイン情報や金融情報などの機密情報を盗み出すマルウェアの一種です。主にブラウザのデータを標的とし、密かに活動するこの種の情報窃盗マルウェアは、フィッシングメール、悪意のあるダウンロード、マルバタイジングなど、多くの攻撃経路を通じて拡散する可能性があります。

サイバーセキュリティレポート デモをリクエストする

情報窃盗犯とは何ですか?

情報窃盗犯は、より広範なデータ流出産業の一部であり、盗まれた情報はしばしばパッケージ化され、ダークウェブ上で取引される。サイバー犯罪者は、情報窃盗マルウェアをサービスとしてのマルウェア(MaaS)として販売することもあり、悪意のある行為者にとっての参入障壁を下げている。

データ漏洩を取り巻くエコシステムが成熟し、他の攻撃手法から情報窃盗へと移行するにつれ、情報窃盗犯はますます脅威となっており、対策を講じる必要がある。

2025年のサイバーセキュリティの現状:情報窃盗犯の増加

チェック・ポイントの「State of Cybersecurity 2025 Report」では、情報窃盗者の急速な増加について詳しく説明しています。

  • 様々なマルウェア感染経路
  • 企業データ流出を中心に成長してきた拡大産業
  • 企業にとってのデータセキュリティの潜在的な影響

報告書によると、情報窃盗攻撃は2024年に58%増加した。

情報窃盗マルウェアの背後にある技術は過去1年間で大きく進化していないものの、大規模ボットネットの衰退、より広範なデータ流出市場の成熟、そしてリモートワークの普及により、企業ネットワークへの侵入手段として効率的な侵入経路となっている。

情報窃盗攻撃は通常、特定の企業ネットワークへの侵入を目的とするのではなく、多くの個人や組織を標的とする広範囲な攻撃である。

調査によると、情報窃盗マルウェアに感染したデバイスの70%は、企業用ではなく個人用デバイスである。個人用デバイスをターゲットにする主な目的の 1 つは、 Bring Your Own Device (BYOD) エントリ ポイントを通じて企業リソースにアクセスすることです。

インフォスティーラー・マーケットプレイス

情報窃盗犯は、機密性の高い企業情報にアクセスするための迅速かつ比較的簡単な方法として、大量のログ(企業ネットワークへのアクセスを提供するログイン認証情報やその他の機密情報)を迅速に収集することができ、これはより大規模なデータ侵害の最初の段階となります。

サービスとしてのマルウェア

大量のログを迅速に収集できるようになったことで、情報窃盗を企むサイバー犯罪者たちは、MaaS(モビリティ・アズ・ア・サービス)を通じて、技術的に未熟な脅威アクターにそれらのログを販売するようになった。

ダークウェブ上で最も人気のある情報窃盗MaaSプラットフォームの例としては、以下のようなものがある。

  • RedLine Stealer
  • LummaC2
  • スティールC
  • Vidar

MaaSの顧客または提携企業は、これらの情報窃盗ツールのライセンスを購入し、独自の感染キャンペーンを実行します。回収された盗まれたデータは、その後、情報窃盗業者のマーケットプレイス内で売買される。最も一般的なのは、Telegramなどのプラットフォームや、ロシアに拠点を置くものが多い地下マーケットプレイスを通じて行われる。

MaaS(モビリティ・アズ・ア・サービス)の情報窃盗プラットフォームは、ログの質や、盗んだデータを迅速に分類してマーケットプレイスに提示する能力に基づいて互いに競争している。セキュリティチームが脅威を認識し、ネットワークから情報窃盗ソフトウェアを削除し、発生したリスクをパッチで修正するにつれて、これらのログの価値は時間とともに低下します。

したがって、情報窃盗ツールのベンダーは、ログが最も価値のあるタイミングで、最新のログに迅速にアクセスできるようにする必要がある。

初期アクセスブローカー

情報窃盗のエコシステムにおいて、ベンダーやアフィリエイト以外にも、初期アクセスブローカー(IAB)という存在がある。彼らは、最初に得た情報を活用して企業ネットワークに足がかりを築く人々である。

これらは、ログをより広範なネットワークアクセスに変換できることを保証する。 

このサービスを提供することで、彼らはダークウェブ上のフォーラムを通じて特定のターゲットへのアクセス権を再販することができ、ランサムウェア攻撃などの特定の目的を持つ脅威アクターを引き寄せることができる。これらの脅威アクターは、ランサムウェア・アズ・ア・サービス(RaaS)を通じて攻撃機能を提供することで、情報窃盗犯が最初に取得したデータをさらに収益化する可能性がある。

こうした手口で得られる資金、そしてより単純な金融サイバー犯罪(個人情報窃盗、詐欺、不正取引など)によって得られる資金は、情報窃盗のエコシステムの成長を加速させている。

情報窃盗犯の標的

データ分析の結果、販売されているログの中で最も一般的なものは、大手オンラインサービスプロバイダーとソーシャルメディアプラットフォームのものであり、上位5社は以下のとおりであることが明らかになった。

  1. accounts.google.com
  2. facebook.com
  3. roblox.com
  4. login.live.com
  5. instagram.com

ほとんどの情報窃盗マルウェア感染キャンペーンは広範囲にわたり、特定の標的を定めていないため、盗まれたログイン認証情報が最も人気のあるサービスに属していることは驚くべきことではない。

しかし、分析によると、ゲーマーは他の人よりも情報窃盗攻撃を受けやすい可能性があり、関連サイトやサービス( RobloxDiscordTwitchEpic Gamesなど)のログイン認証情報が上位13位に入っていることが示唆されている。これは、これらの地域におけるインターネット利用に関する衛生管理がそれほど厳格ではないことが原因である可能性がある。

情報窃盗犯の地理データ

情報窃盗犯はロシアと密接な関係にあることが多く、盗まれたログはロシアの市場で販売されている。ロシア市場のログを分析すると、そのかなりの割合がインドやブラジルといった国から来ていることがわかる。

ロシア市場で販売されている薪の原産国上位5カ国は以下のとおりです。

  1. インド 10%
  2. ブラジル 8%
  3. Indonesia 5%
  4. パキスタン 5%
  5. エジプト 5%

情報窃盗犯を防ぐ方法

情報窃盗マルウェアやデータ漏洩から保護するには、組織全体を網羅する高度なセキュリティプロセスとベストプラクティスが必要です。これには、リモートワークやハイブリッドワークで使用されるBYOD(私物端末の業務利用)など、あらゆる潜在的な侵入経路を保護することが含まれます。

これらのデバイスは攻撃対象領域を劇的に拡大し、情報窃盗犯にさらに多くの機会を与えることになる。

IAB(情報分析局)は、個人用デバイスのログを特定することで、貴重な企業ネットワークへの侵入経路を見つけることができます。個人用デバイス上のセッションクッキーを盗み出すことで、多要素認証(MFA)の仕組みを回避することさえ可能です。したがって、どのようなセキュリティ対策を講じる場合でも、従来の企業境界を超えて、すべてのアクセスポイントを含めるようにする必要があります。

情報窃盗犯がシステムに侵入するのを防ぐための主要な方法:

  • ソーシャルエンジニアリング攻撃の発見:情報窃盗マルウェアはフィッシングや悪意のあるダウンロードを通じて拡散されることが最も多いため、最善の防御策は、従業員にソーシャルエンジニアリング攻撃を発見する訓練を行うことです。さらに、不審なメールやリンクをブロックするメールセキュリティツールの導入も検討すべきです。
  • ブラウザ同期の防止:これにより、企業システムのパスワードが個人用デバイスからアクセスされることを防ぎます。
  • 高度なID管理とアクセス制御の活用:これらのシステムは行動を追跡し、不審な活動に対応します。不審なアクティビティを検知した際に、即座にブロックしたり、新たな認証方法を導入したりするツールを探しましょう。
  • 積極的にログを検索する:情報窃盗マーケットで自社および従業員に関連するログを検索したり、ダークウェブの脅威インテリジェンスを利用して、乗っ取られたアカウントを含む潜在的なデータ漏洩を追跡したりする。
  • エンドポイント検出・対応(EDR)の導入:情報窃盗マルウェアなどのサイバーセキュリティ脅威を監視し、修復します。EDRツールは、挙動ベースとシグネチャベースの両方の検出方法を活用することで、マルウェアが深刻なデータ侵害に発展する前に、ネットワーク上のマルウェアを迅速に特定できます。
  • MFAの活用:情報窃盗犯がセッションクッキーを介してMFAを回避することは可能ですが、MFAは他の形式のデータへのアクセスを防ぐための貴重なツールです。MFAは、情報窃盗犯がログイン認証情報を入手し、より広範な攻撃を仕掛けようとした場合の安全策となる。

チェック・ポイントで情報窃取者を防止・軽減

情報窃盗犯は、より深刻なデータ漏洩を引き起こす、増大するサイバーセキュリティ上の脅威である。情報窃盗を主因とする広範なサイバー犯罪エコシステムが発展する中、このマルウェアは、世界中の脅威アクターに対してネットワークを開放する鍵となります。

現代の情報窃盗マーケットプレイスでは、企業ネットワークへのハッキングや不正アクセスは、技術的なスキルよりも資金力の問題となっている。ログのデータベースは、料金を支払う意思のある人なら誰でも利用できる。適切な情報窃盗対策を講じなければ、ダークウェブを閲覧する脅威アクターがあなたのビジネスではなく、別の標的を選ぶだろうと賭けているようなものです。

チェック・ポイント社が提供する「サイバーセキュリティの現状2025 」レポートをダウンロードすれば、情報窃盗犯の脅威の高まりと、ビジネスを保護する方法について詳しく知ることができます。

スタート

Check Point Endpoint Security Protection

Check Point Infinityによる完全ゼロ トラスト セキュリティ

高度なネットワーク脅威対策

関連トピック

マルウェアの種類

エージェントテスラマルウェア

FormBook マルウェア

Remcos マルウェア

Remote Access Trojan (RAT)