「情報窃取型マルウェア」と「ランサムウェア被害」の関連が浮上 その実態は?KELAが情報窃取型マルウェアの流行を報告

KELAが公開したレポートで、情報窃取型マルウェアとランサムウェアの攻撃が連動して起きている可能性や、ブラックマーケットでの認証情報の売買が高度化している実態が明らかになった。

2025年04月30日 05時00分 公開
[渡邉利和]

関連キーワード

脆弱性対策 | 情報漏えい | マルウェア | セキュリティリスク


 「情報窃取型マルウェア」(インフォスティーラー)に感染することで認証情報が流出し、それがランサムウェア(身代金要求型マルウェア)攻撃に活用される――。こうした“サイバー脅威の連鎖”が起きている実態が、イスラエルに本拠を置くセキュリティ企業KELAによる分析レポートで明らかになった。

 流出した企業の認証情報がサイバー犯罪の中でどのように活用されるのか。その闇取引の最新状況はどうなっているか。KELAがレポートで明かした状況は以下の通りだ。

拡大を続ける「情報窃取型マルウェア」の脅威

 情報窃取型マルウェアが急速にまん延しつつある。2023年ごろから情報窃取型マルウェアの急増に関する情報は報告されていたが、その増加傾向は2025年の現時点でも継続している。狙われるのは主にユーザーの認証情報で、特に企業の従業員などを標的に、企業システムへのログイン権限を取得する目的で使われる例が急増中だ。

 KELAのレポートは、企業システムにログイン可能な認証情報を「さまざまなサイバー攻撃を可能とする価値の高い『商品』」だと表現し、ブラックマーケット(闇市場)での取引対象となっている実態を指摘している。そのため、情報窃取型マルウェアの進化が進むのと同時に、ランサムウェアでは早くから見られていたのと同様の“as a Service”型での販売(MaaS:Malware as a Service)も増えているという。

 「情報窃取型マルウェアに感染した機器は全世界で430万台以上に上り、2024年に悪用された認証情報は3億3000万件以上」だとKELAはレポートで報告している。加えて、感染した機器の約40%に、CMS(コンテンツ・マネジメント・システム)、メール、ID・アクセス管理システム「Active Directory」、連携サービス、リモートデスクトップといった企業の重要なシステムに関連する認証情報が含まれていたという。

 情報窃取型マルウェアによって収集された認証情報のブラックマーケットにおける流通の仕組みも高度化しているという。自動化が進み、購入者が欲しい認証情報の属性を検索して購入できる仕組みが作られている他、サブスクリプションモデルの提供も始まっているという。この場合、購入者は窃取された認証情報が格納されたデータベースに継続的にアクセスできる形になる。販売される認証情報は「ULP」(URL、Login、Password)と呼ばれるフォーマットで提供されるなど、標準化も進んでいることが伺える。

 KELAは情報窃取型マルウェアの被害者300人に対して2024年6〜8月に聞き取り調査を実施した結果、従事する職務としてプロジェクト管理(28%)、コンサルティング(12.7%)、ソフトウェア開発(10.7%)などが上位を占めた。調査対象者はそれぞれ別々の企業の従業員が選ばれており、対象者の多くはテクノロジー関連だった。地域別ではブラジルが9%で最多だった。

 企業システムのための認証情報が保存されている個人所有PCの感染が、業務用システムの感染よりも多いこともレポートで明らかになった。被害を受けているのはほとんどが現役の従業員の認証情報であることから、データベースのハッキングなどの手法よりも、フィッシングなどの人間をだます手口で感染に成功していると考えられる。

情報窃取型マルウェアとランサムウェア被害の関連

 情報窃取型マルウェアの感染がランサムウェア被害と強く関連していることも示唆されている。幾つかのランサムウェア攻撃グループの活動について、被害企業の従業員の認証情報がランサムウェア被害が発生する5〜95日前(平均は2.5週)にブラックマーケットで売買されていたことが確認されている。ランサムウェア攻撃と情報窃取型マルウェアを直接関連付ける証拠はないものの、関連が強く疑われる。

 情報窃取型マルウェアによって企業システムにログインできる認証情報が摂取された場合、その後サイバー攻撃者がシステム内に侵入し、ランサムウェアを感染させて社内のデータの暗号化や情報窃取などのサイバー犯罪が実行されるリスクが高い。現在のサイバー攻撃は高度に分業化されており、ランサムウェアのソフトウェア自体を開発する開発者と攻撃者が分離していることはもちろん、企業システムに侵入するための「初期アクセス」(Initial Access)を収集して販売する「イニシャルアクセスブローカー」(IAB)が台頭し、ランサムウェア攻撃者がより効率的にランサムウェア感染を成功させることが可能になってきている。

 こうした状況を踏まえてKELAは、「積極的な防御監視」「プロアクティブなアクセス管理」「強固なアンチウイルスソリューション」「従業員トレーニング」といった対策を講じることを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ
会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方