（注：本ブログはAIで翻訳しています）　

2025年、サイバー犯罪者たちは情報窃取マルウェアを使って効率的に活動しており、彼らの活動の中には、すでにニュースのトップ記事に取りあげられているものもあります。脅威アクターは、資格情報の窃取から企業ネットワークへの侵入にいたるまで、脅威アクターたちは一連の攻撃をエスカレートさせており、ダークウェブマーケットでは取引が活発に行われ、組織に甚大なセキュリティリスクをもたらしています。2025年初頭には、こうした脅威がいかに広範におよび、そして巧妙化しているのかを浮き彫りにする重大なインシデントが複数発生しました。

また、新たな情報窃取マルウェア「FleshStealer」も発見されました。同マルウェアについては、ウェブブラウザや暗号資産ウォレット、二要素認証（2FA）の拡張機能を標的にしていることや、暗号化や自己終了といった高度な検知回避技術が組み込まれており、セキュリティツールによる検知や解析が極めて困難であることが判明しています。

また、攻撃者が情報窃取マルウェアを用いて、スペインの大手通信企業「Telefonica」の従業員アカウントを複数侵害し、その結果、彼ら（攻撃者）が同社の社内チケットシステムにアクセスできる状態になっていたことが判明しています。同インシデントでは、攻撃者は従業員のメールアドレスと氏名（2万4,000件）、Jiraの内部課題の要約（50万件）、社内メールをはじめとする内部文書（5,000件）を窃取したとされています。

その他、最近発生した別のキャンペーンでは、攻撃者がWindows LDAPの脆弱性に関するProof of Concept（PoC）コードに見せかけて、情報窃取マルウェアを拡散していたことが判明しています。この事例は、セキュリティ研究者を欺くと同時に、情報窃取マルウェアの拡散手法がいかに進化しているかを浮き彫りにしていました。

また2月には、サイバー犯罪グループ「Black Basta」からデータが漏えいするインシデントが発生しました。このインシデントにより、同グループが使用していた資格情報の多くが、情報窃取マルウェアのログから取得されたものであることが判明し、攻撃を防止する上で、資格情報の管理がいかに重要であるかを改めて浮き彫りにしました。

上述したとおり、2025年に入ってすでに様々なインシデントが発生していますが、そのいずれも、SOCチームや脅威ハンター、セキュリティ部門にとって情報窃取マルウェアへの対応は最優先事項であることを示しています。この静かな脅威は、ランサムウェア攻撃のように身代金を要求されて発覚することはなく、被害組織が気づかないうちに侵入し、情報を窃取し、さらなる高度な攻撃の土台を作り上げているのです。

以前KELAは、情報窃取マルウェアの概要を紹介しました。情報窃取マルウェアを使た攻撃が激増している状況をふまえ、ここであらためて「2025年、なぜ情報窃取マルウェアが企業にとって深刻な脅威となるのか」を簡単に振り返ってみます。

2025年、情報窃取マルウェアの脅威が増大している理由とは

こうした最近のインシデントは、決して意外なものではありません。近年における情報窃取マルウェアの活動は266%も増加しており、脅威アクターにとってますます魅力的な手法となっているからです。では、なぜ情報窃取マルウェアは、ここまで人気を集めているのでしょうか？まず第一に、情報窃取マルウェアは「標的を選ばない」ことが挙げられます。金融情報（クレジットカード番号や銀行口座情報）やパスワード、ログイン資格情報、閲覧履歴、個人識別情報（PII）といった価値あるデータを保持するすべての個人や組織が攻撃対象となりうるのです。この潜在的な被害者・被害組織の広さに加え、情報窃取マルウェアが急増している理由は他にもあります。

貴重なデータに、低コストで簡単にアクセス

ランサムウェア攻撃の場合は、交渉などのプロセスで被害組織と直接やり取りする必要が生じますが、情報窃取マルウェアは秘密裏に活動してログイン資格情報や決済情報、セッションのCookie、システム情報などを収集します。窃取されたデータは、ダークウェブのマーケットで売買される場合もあれば、さらなる攻撃の足がかりとして悪用される場合もあります。

認証情報の価値がこれまで以上に高まっている

攻撃者は窃取した資格情報を悪用して、アカウントの乗っ取り（ATO）やスパイ活動、ネットワーク内部での横移動を行うことができます。さらに現在では、サイバー犯罪市場が成熟しており、窃取した資格情報をダークウェブのフォーラムやTelegramグループ、自動化された販売ショップなどでほぼ即座に現金化することができるようになっています。

ステルス性と持続性

情報窃取マルウェアはバックグラウンドで動作し、長期間にわたって検出されないまま運用されることが多く、攻撃者は最新の資格情報を継続的に収集できるようになっています。また、このマルウェアは、フィッシング詐欺やソーシャルエンジニアリングのようにユーザーとのやり取りを必要とせず、一度ユーザーの端末に感染した後は、完全に自動で機能させることができます。

検出率の低さ

多くの情報窃取マルウェアは、暗号化、デバッグ回避、難読化といった技術を用いて、EDR（エンドポイント検出応答）やアンチウイルスなどのセキュリティツールによる検出を回避しています。

1月に発生したLDAP関連のインシデントは、脅威アクターたちがもはやフィッシングやソーシャルエンジニアリングに頼るだけでなく、公開されているセキュリティツールやコードを悪用してマルウェアを拡散させていることを示しています。これにより、従来の検出手法をすり抜け、ユーザーとの直接的なやり取りを介さずに貴重な認証情報へとアクセスが可能になります。

より大規模で収益性の高い攻撃の足掛かり

情報窃取マルウェアは、大規模なサイバー犯罪活動の足掛かりとして機能します。具体例として、以下が挙げられます：

• ランサムウェアの展開：攻撃者は盗まれた認証情報を使ってセキュリティ制御を回避し、権限を昇格させ、企業ネットワーク内にランサムウェアを展開します。
• ビジネスメール詐欺（BEC）攻撃：企業メールにアクセスした攻撃者が、幹部になりすまして資金を騙し取ります。
• サプライチェーン攻撃：盗まれたアクセス情報を使って、第三者の取引先を侵害し、攻撃対象を拡大します。

1月に発生したTelefonicaの事例では、感染によりハッカーが必要な認証情報を入手し、さらに巧妙なソーシャルエンジニアリングを駆使してシステムへのアクセスを拡大していたことが確認されています。



最小限の労力で大規模に拡散可能

情報窃取マルウェアは展開が容易で、さまざまな攻撃手段を通じて拡散されます。具体例として、以下が挙げられます：

• フィッシングメールや悪意ある広告（マルバタイジング）：偽の請求書や求人情報、広告により、被害者にマルウェアをダウンロードさせます。
• トロイの木馬化されたソフトウェア：無料のソフトウェアクラックやMOD、便利ツールに偽装されて配布され、ユーザーを欺きます。
• SEOポイズニングやドライブバイダウンロード：検索結果を操作して、感染ファイルをダウンロードさせます。

マルウェア・アズ・ア・サービス（MaaS）で、手軽に利用できるようになった情報窃取マルウェア

多くの情報窃取マルウェアは、「マルウェア・アズ・ア・サービス（MaaS）」としてサブスクリプション形式で提供されています。つまり、プログラムコードを一行も書けないような低スキルの攻撃者であっても、簡単に認証情報の窃取キャンペーンを開始できるのです。

結論は明白です。情報窃取マルウェアは、わずかな労力で最大のリターンを攻撃者にもたらす手段であり、認証情報の窃取、不正アクセス、大規模なサイバー攻撃を可能にします。SOCチームおよびセキュリティ部門は、こうした脅威が窃取データの武器化に至る前に、迅速に検知・阻止・防御する体制を整える必要があります。

SOCチームや脅威ハンターが情報窃取マルウェアに先手を打つには

情報窃取マルウェアの急増に対抗するには、SOCチームや脅威ハンティングチームが積極的かつ多層的なセキュリティ戦略を導入することが不可欠です。その出発点となるのが、「アイデンティティの保護」です。最新の情報窃取マルウェアに関する脅威と、その企業セキュリティへの影響について詳しく知りたい方は、以下の最新レポートをご覧ください。

『Inside the Infostealer Epidemic: Exposing the Risks to Corporate Security』