2025年に入ってから証券口座への不正アクセスが急増している。認証情報の入手手段として「インフォスティーラー」が注目されている。このマルウェアには、企業のIT部門も警戒すべきだ。
2025年に入ってから証券口座への不正アクセスが急増している。金融庁の発表によると、2025年2月は43件だった不正アクセス件数が、3月には1420件、4月には4852件となっている。不正取引された金額も2025年2月は約1.6億円だったが、3月には約257億円、4月には約2789億円と桁違いに増えている。
増加している一連の不正アクセスでは、侵入後に直接口座内のお金を出金するのではないところも特異な手口だ。攻撃者はまず、不正アクセス前に流動性の低い株(売買の取引量が比較的少ない銘柄)を自身が用意した口座で購入しておく。その後、不正アクセスした口座でその株を大量に買い付け、値上がりしたところで、自身の口座で事前に購入した株を売りさばく。被害者の口座には値下がりした株が残されているだけだ。一見すると被害者の口座で行われているのは正規の取引のため、発覚まで時間がかかる点がより悪質だ。
不正アクセスが急増した原因として、フィッシング詐欺によりログイン情報を窃取されたのではないかとも指摘されているが、それだけではないようだ。つまり、フィッシング詐欺以外の方法で情報が盗まれている可能性がある。
そうした中で、警戒すべき手口の一つとして注目されているのが「インフォスティーラー」だ。このマルウェアには、情報システムを運用する企業のIT部門も警戒すべきだ。インフォスティーラーとはどのようなものなのか、仕組みや対策について解説する。
インフォスティーラーという言葉を初めて聞いた人もいるだろう。インフォスティーラーとは「Information Stealer」の略で、情報窃取専門のマルウェアだ。インフォスティーラーに感染するとあらゆるデータを盗まれる可能性がある。これまでに「RedLine Stealer」「XLoader」「ReceiverNeo」などが確認されている。
情報窃取をするマルウェアとしては従来、スパイウェアがある。スパイウェアはIDやパスワードの他、キーボードの入力情報なども盗む。インフォスティーラーはそれらに加えて、アプリケーションのデータや、MicrosoftのクライアントOS「Windows」のパスワードハッシュ(元のパスワードからは復元できない不規則な文字列)、API(アプリケーションプログラミングインタフェース)キーなどさまざまな情報を収集する。中にはパスワードマネジャー(パスワード管理ツール)のデータベースを狙うものもある。つまりインフォスティーラーは、スパイウェアよりもすぐに悪用可能な情報の窃取に特化したものと言える。
話題になっているのは証券口座の乗っ取りだが、インフォスティーラーにより認証情報が窃取され、企業ネットワークに侵入されるケースも十分考えられる。企業ネットワークに侵入されると、他端末やサーバなどへ被害が拡大し、システムダウンやランサムウェア(身代金要求型マルウェア)への感染など、甚大な被害の発生が予想される。インフォスティーラーから情報を守るにはどうすればよいのか。
まず基本的な対策として、OSや「EPP」(Endpoint Protection Platform、アンチマルウェアソフトウェアとも)、「EDR」(Endpoint Detection and Response)を含めて各種ソフトウェアは最新にしておくことが挙げられる。IDやパスワードをパスワード管理ツールで暗号化して保管することも大切だ。他にも、ログインにIDとパスワードのみを使用するのではなく、多要素認証(MFA:Multi-Factor Authentication)を併用することも重要だ。
もちろん、パスワードの使い回しをしないことや、不審なメールやWebサイトに注意してフィッシング詐欺に遭わないようにすることも基本的な対策として欠かせない。
インフォスティーラーは、正規ツールを悪用する「LotL」(Living off the Land:環境寄生型)攻撃や既存のDLL(動的リンクライブラリ)を使用するなど、EDRの検知を回避しようとさまざまな手段を講じてくる。DLLとはプログラムの実行時に呼び出して使用するライブラリ(プログラムの部品群)を指す。
パスワード管理ツールによっては暗号化アルゴリズムに脆弱(ぜいじゃく)性があり、データベースの情報を分析・窃取される可能性もある。多要素認証も「Pass-The-Cookie」と呼ばれるセッションCookieを窃取・悪用する手法によって、突破される可能性がある。
万全な対策を目指すのであれば、EPPに加えてEDRやXDR(Extended Detection and Response)といったツールを組み合わせる必要がある。EPP、EDR、XDRの概要は以下の通りだ。
| ツール | 対象 | 概要 |
|---|---|---|
| EPP | エンドポイント | シグネチャ(マルウェアの特徴を定義したパターン情報)を基に、既知のマルウェアの検出および駆除をする仕組み |
| EDR | エンドポイント | 未知または高度な脅威に対処するために、エンドポイントの挙動を監視し、不審な動きを検出して対処する仕組み |
| XDR | 複数レイヤー | EDRの仕組みを拡張し、エンドポイントだけでなくネットワークやクラウドインフラ、メールサーバなど複数のレイヤーに対象を広げて監視および対処をする仕組み |
| セキュリティツールの概要 | ||
インフォスティーラーによる被害を抑止にするには、基本的な対策も含めた複数の方法を組み合わせて、被害が発生するリスクをできるだけ小さくすることが大切だ。インフォスティーラーによる被害は、証券口座に限らず、さまざまな分野に広がる可能性があるので、情報システムを運用する企業のIT部門も今後大いに警戒すべきマルウェアになる。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
