インフォスティーラー対策の完全ガイド┃企業が今すぐ実施すべき7つの対策

近年、企業を狙うサイバー攻撃の中でもインフォスティーラーによる被害が急増しています。

 

ランサムウェアのように派手な破壊活動は行わず、感染端末に潜伏しながら静かに認証情報・セッションCookie・機密データを窃取するこのマルウェアは、発見が遅れるほど被害が拡大します。

 

本記事では、インフォスティーラーの仕組みと感染経路から、企業が今すぐ実施すべき7つの具体的対策、さらに感染が疑われる場合の対処手順まで、セキュリティ担当者が必要な情報を解説します。

インフォスティーラーとは

インフォスティーラー（Infostealer）とは、感染した端末からブラウザに保存されたパスワード、セッションCookie、クレジットカード情報、仮想通貨ウォレット、FTPクライアントの認証情報などを窃取することに特化したマルウェアです。

 

代表的な種類としてRedLine Stealer、Raccoon Stealer、Vidar、LummaC2などがあり、いずれも窃取した情報をC2（コマンド＆コントロール）サーバーへ即座に送信します。感染から情報流出まで数分以内というケースも珍しくありません。

 

関連記事：インフォスティーラーとは？詳しく解説

他のマルウェアとの違い

ランサムウェアは破壊、インフォスティーラーは潜伏して窃取という違いがあります。以下に、ランサムウェアとインフォスティーラーの違いを表でまとめました。

 

項目	ランサムウェア	インフォスティーラー
目的	データの暗号化・身代金要求	認証情報・機密データの窃取
発覚タイミング	即時（業務停止を伴う）	遅延（気づかれにくい）
行動特性	破壊的・派手	潜伏・静粛
被害の広がり	感染組織内	ダークウェブ等で情報が流通
二重脅迫との関係	実施するケースあり	前段として悪用されるケースが増加

 

近年増加しているのが、インフォスティーラーとランサムウェアを組み合わせた二重脅迫攻撃です。

 

まずインフォスティーラーで認証情報・機密データを窃取し、その後ランサムウェアを展開するという手順で、「データを公開する」という脅迫と「業務を止める」という脅迫を同時に行います。

なぜ今これほど増加しているのか

インフォスティーラーが急増している最大の要因は、Malware as a Service（MaaS）の普及です。

 

かつてはマルウェア開発に高度な技術力が必要でしたが、現在はサイバー犯罪フォーラムやダークウェブ上でインフォスティーラーが月額数十〜数百ドルでレンタルできるようになっています。

 

これにより技術力のない攻撃者でも大規模な攻撃を展開できるようになり、攻撃者の裾野が一気に拡大しました。さらに生成AIの普及により、自然な日本語の巧妙なフィッシングメールの作成コストも大幅に低下しており、攻撃の高度化・大量化が同時進行しています。

インフォスティーラーの主な感染経路と手口

インフォスティーラーへの感染経路は多岐にわたります。攻撃者は組織の防御の隙を突くため、複数の手口を組み合わせて侵入を試みます。主な感染経路を把握しておくことが、効果的な対策の第一歩です。

フィッシングメール・スピアフィッシング

最も一般的な感染経路が、業務関連メールを装ったフィッシングメールです。請求書・契約書・人事通達などを模した添付ファイル（Word/Excel/PDFなど）を開かせるか、偽のログインページへ誘導するリンクをクリックさせることで感染させます。

 

注意が必要なのが「スピアフィッシング」です。特定の組織・個人を標的に、実在する取引先や上司を装った高度にカスタマイズされたメールを送りつけます。

 

生成AIの活用により、文法ミスのない自然な日本語の偽メールが急増しており、従来の「怪しい日本語で見分ける」という方法が通用しなくなっています。

偽のCAPTCHAを使った「ClickFix」手法

「ClickFix」は2024年以降に急増している新しい攻撃手法です。「ロボットでないことを証明してください」という偽のCAPTCHAダイアログを表示し、「認証に必要な手順」として悪意あるPowerShellコマンドをユーザー自身にコピー＆ペースト・実行させます。

 

ユーザーが自ら実行するため、多くのセキュリティソリューションの検知をすり抜けることができます。「自分でコマンドを実行させられる」という点で従来のマルウェア感染とは異なるアプローチであり、セキュリティ意識の高いユーザーも騙されるケースがあります。

 

関連記事：ClickFix手法について詳しく解説

悪意あるブラウザ拡張機能・偽ソフトウェア

海賊版ソフトウェアや非公式サイトからダウンロードしたフリーソフト、さらには一見便利そうなChrome拡張機能にインフォスティーラーが仕込まれているケースがあります。特に業務効率化ツールやAI関連ツールを装ったものが増加しています。

 

従業員の私物端末（BYOD：Bring Your Own Device）での利用が侵入口になりやすく、個人利用と業務利用が混在する環境では管理が特に難しくなります。

BYODリスク：私物端末を経由した企業情報の流出

BYODで業務を行う従業員の私物スマートフォンやPCが感染した場合、その端末に保存・同期された企業の認証情報が流出するリスクがあります。とくに危険なのが、以下のようなクラウド同期機能との組み合わせです。

 

l  Googleアカウントに同期されたChromeのパスワードが窃取される

l  Dropbox・OneDriveと同期したフォルダ内の業務ファイルが流出する

l  業務メール・Slackなどのセッションが乗っ取られ、なりすましアクセスされる

インフォスティーラーで窃取される情報の種類と悪用パターン

インフォスティーラーは感染端末から幅広い情報を収集します。窃取された情報がどのように流通し、悪用されるかを理解することで、対策の優先順位付けに役立ちます。

窃取対象となる主な情報

l  ブラウザ保存パスワード（Chrome・Edge・Firefoxなど）

l  セッションCookie（ログイン状態を維持するトークン）

l  クレジットカード情報（ブラウザ保存のオートフィルデータ）

l  仮想通貨ウォレットの秘密鍵・シードフレーズ

l  VPN・RDP・SSHなどのリモートアクセス認証情報

l  メール・チャットアプリのログイン情報

l  FTPクライアント・開発ツールの認証情報

l  スクリーンショット・キーストローク（一部機種）

l  システム情報（OS・インストール済みソフト・ネットワーク情報）

窃取情報の流通：ダークウェブ・Telegramが主要経路に

窃取された認証情報は「ログ」と呼ばれるパッケージにまとめられ、従来のダークウェブマーケットに加え、近年はTelegramチャンネル・ボットが主要な流通経路となっています。

 

Telegramは匿名性が高く、売買トランザクションの自動化も容易なため、サイバー犯罪者に急速に普及しました。

 

深刻なのは、窃取から悪用までの時間が極めて短いことです。感染・窃取・Telegram流通・第三者による購入・不正アクセスという一連のプロセスが数時間以内に完結するケースが報告されており、被害の早期検知と迅速な対応が不可欠です。

 

関連記事：ダークウェブでの認証情報流通について詳しく解説

セッションCookieを狙った多要素認証バイパス

「多要素認証を設定しているから安全」とは言い切れません。

 

MFAを突破する手段としてセッションCookieの窃取が急増しています。セッションCookieとは、ログイン後のブラウザセッションを維持するためのトークンで、これを窃取されると、攻撃者はパスワードもMFAコードも不要でサービスにアクセスできます。

 

さらに、AiTM（Adversary-in-the-Middle）攻撃と組み合わせることで、リアルタイムでセッションCookieを横取りする手法も確認されています。TOTP（ワンタイムパスワード）はこれらの攻撃に対して脆弱であり、より強固な認証方式への移行が求められます。

 

関連記事：セッションCookie窃取・AiTM攻撃について詳しく解説

企業が実施すべきインフォスティーラー対策7選

インフォスティーラー対策には、検知・防御・認証・監視の多層防御アプローチが不可欠です。1つの対策だけでは攻撃を完全に防ぐことは困難であり、複数の対策を組み合わせることで防御の厚みを増すことができます。

 

以下に企業が優先的に実施すべき7つの対策を解説します。

対策①【エンドポイント対策】EDR / NGAVの導入

従来のシグネチャベースのウイルス対策ソフト（AV）では、新種・亜種のインフォスティーラーを検知できないケースが増えています。

 

EDR（Endpoint Detection and Response）やNGAV（Next-Generation Antivirus）は、振る舞い検知（Behavioral Detection）によってシグネチャに登録されていない未知の脅威も検出できます。主なメリットは以下の通りです。

 

l  プロセスの異常な振る舞い（大量のパスワードファイルへのアクセスなど）をリアルタイム検知

l  感染後のインシデント調査（フォレンジック）にも活用できるログ収集機能

l  C2サーバーへの不審な通信を検知・遮断する機能

 

対策②【ブラウザ対策】パスワードのブラウザ保存禁止・パスワードマネージャーの導入

ブラウザのパスワード保存機能は、インフォスティーラーが最も頻繁に狙うターゲットの1つです。

 

Chrome・Edge・Firefoxなど主要ブラウザのパスワードデータベースは、インフォスティーラーが直接読み取れる形式で保存されており、感染すれば即座に全パスワードが窃取されます。

 

企業向けパスワードマネージャーへの移行と、グループポリシーによるブラウザへのパスワード保存の無効化を組み合わせることで、このリスクを大幅に低減できます。

対策③【認証強化】フィッシング耐性型MFA・パスワードレス認証への移行

前述のとおり、TOTP（Google Authenticator等のワンタイムパスワード）はセッションCookieの窃取やAiTM攻撃によって突破される可能性があります。より強固な認証として、フィッシング耐性型のMFAへの移行を推奨します。

 

【推奨する認証方式】

l  FIDO2 / パスキー：秘密鍵がデバイスから外部に出ないためフィッシング・AiTM攻撃に耐性あり

l  ハードウェアセキュリティキー（YubiKey等）：物理デバイスを用いた最高水準の認証

l  Windows Hello for Business：生体認証とデバイス証明書を組み合わせた企業向け認証

 

関連記事：フィッシング耐性型MFAについて詳しく解説

対策④【ネットワーク対策】ウェブフィルタリング・DNSフィルタリング

インフォスティーラーは感染後、窃取した情報をC2（Command & Control）サーバーへ送信します。

 

ウェブフィルタリング・DNSフィルタリングにより、既知の悪意あるドメイン・IPアドレスへの通信をブロックすれば、マルウェアが「電話をかける」先との通信を遮断し、情報の流出を防ぐことができます。

 

クラウド型のDNSフィルタリングサービス（Cisco Umbrella・Cloudflare Gateway等）はリモートワーク・社外利用の端末にも適用できるため、BYODリスクへの対策としても有効です。

対策⑤【アクセス制御】最小権限の原則・ZTNA（ゼロトラストネットワークアクセス）

1台の端末が感染しても、組織全体への被害拡大（ラテラルムーブメント：横展開）を防ぐためのアクセス制御が重要です。

 

最小権限の原則にもとづき、各ユーザー・端末が業務に必要な最低限のアクセス権限のみを持つよう設計します。

 

ZTNA（ゼロトラストネットワークアクセス）は「すべての接続を信頼しない」という原則のもと、ユーザー・デバイス・場所・リスクレベルを継続的に検証してアクセスを制御します。

 

従来のVPNと異なり、認証済みユーザーに広範なネットワークアクセスを与えないため、感染端末からの横展開リスクを大幅に低減できます。

 

関連記事：最小権限の原則について詳しく解説　ZTNAについて詳しく解説

対策⑥【BYOD対策】私物端末ポリシーの整備・MDMの導入

BYODを認める場合は、明確なセキュリティポリシーと技術的な管理ソリューションの両輪で対策を行います。

 

MDM（Mobile Device Management）により、業務に使用する私物端末のセキュリティ設定の強制・リモートワイプ・アプリのホワイトリスト管理が可能になります。

 

【対策の組み合わせ例】

l  MDM（Mobile Device Management）：デバイス全体のセキュリティ管理

l  MAM（Mobile Application Management）：業務アプリのみを管理（個人データに触れない）

l  コンテナ化：業務領域と個人領域をデバイス上で完全分離

l  条件付きアクセス：未管理デバイスからの業務システムアクセスを制限

対策⑦【事後監視】ダークウェブモニタリングで漏洩を早期検知

技術的対策を複数講じても、100%の感染防止は困難です。

 

そこで重要になるのが感染・流出を前提とした早期検知の仕組みです。ダークウェブモニタリングは、自社のドメイン・メールアドレス・サービスに関連する認証情報がダークウェブやTelegramに流出していないかをリアルタイムで監視します。

 

流出を検知した場合、被害拡大前にパスワードリセット・セッション無効化・アカウントロックなどの対処を迅速に行えます。

インフォスティーラーへの感染が疑われる場合の対処手順

インフォスティーラーへの感染が疑われる場合、迅速かつ正確な対応が被害を最小化します。以下の手順を参考に、インシデント対応計画として事前に整備しておきましょう。

Step 1：即時ネットワーク隔離

感染が疑われる端末をネットワークから即座に切断します。有線LANケーブルを物理的に抜くとともに、Wi-FiおよびBluetoothも無効化しましょう。この初動対応が遅れるほど、インフォスティーラーによるデータ送信と横展開のリスクが高まります。

 

リモートワーク中の端末の場合は、ユーザーに電話で指示するか、MDMによるリモート隔離機能を活用します。

Step 2：認証情報の一括リセット

感染端末で使用していたすべてのアカウントのパスワードを、未感染の別端末から変更します。優先順位は、業務システム・VPN・メール・クラウドサービスの順です。

 

この際、感染端末を使って変更しないことが重要です。変更したパスワードも感染端末から即座に窃取される可能性があります。

Step 3：セッションの強制失効

パスワード変更だけでは不十分です。既に窃取されたセッションCookieを無効化するため、各クラウドサービスの「すべてのデバイスからサインアウト」機能を活用し、すべてのアクティブセッションを強制的に失効させます。

 

Microsoft 365・Google Workspace・Slackなどの主要サービスでこの操作を行います。

Step 4：フォレンジック調査の実施

どの情報が・いつ・どこへ流出したかを特定するため、感染端末のログ解析・フォレンジック調査を実施します。エンドポイントのプロセスログ・ネットワーク接続ログ・ブラウザ履歴などを確認します。

 

社内での対応が困難な場合は、セキュリティ専門ベンダーへの依頼を検討してください。

Step 5：ダークウェブでの流出情報確認

感染端末から窃取された情報がすでにダークウェブ・Telegramで流通していないかを確認します。ダークウェブモニタリングツールを活用し、自社ドメイン・メールアドレスに関連する流出情報を検索しましょう。

 

流出が確認された場合は、該当するサービスのアカウントに対して追加の保護措置を講じます。

インフォスティーラー対策は感染後が重要

インフォスティーラーの脅威は、感染を完全に防ぐという前提で対策を組み立てるだけでは不十分です。MaaSの普及により攻撃の敷居が下がり続ける中、攻撃者はより巧妙な手口で侵入を試みています。

 

重要なのは「感染・流出を前提とした」多層防御の考え方です。

 

EDR・NGAV・ウェブフィルタリングによる検知・防御層、フィッシング耐性型MFAによる認証強化層、ZTNAによるアクセス制御層、そしてダークウェブモニタリングによる事後監視層。

 

これらを組み合わせることで、攻撃を受けても被害を最小化できる体制が整います。本記事で解説した7つの対策を参考に、自社のセキュリティ体制を今一度見直してみてください。

 

とくに「ブラウザへのパスワード保存の禁止」と「ダークウェブモニタリングの導入」は、比較的すぐに着手できる対策として優先的に検討することをおすすめします。