ある日突然、SNSアカウントが乗っ取られたり、暗号資産が消えていたら——。その裏には「インフォスティーラー(Info Stealer)」というマルウェアが潜んでいるかもしれません。
このマルウェアは、気づかれずにパソコンやブラウザに保存された情報を盗み出すのが特徴です。感染経路も巧妙化しており、日常的に使っているソフトのダウンロードや、正規に見える広告がきっかけになることもあります。
本記事では、インフォスティーラーの仕組み、感染の手口、実際の被害、そして防ぐための具体的な対策をわかりやすく解説します。
インフォスティーラーとは?
基本的な特徴と目的
インフォスティーラーとは、ユーザーの情報を盗み出すタイプのマルウェアの総称です。
「感染しても画面上に何も表示されない」という点が特徴で、静かに以下のような情報を盗み出します。
- ブラウザに保存されたパスワード
- クレジットカード情報
- Cookie(Webサービスへのログイン情報など)
- 暗号資産ウォレットの秘密鍵
- メールやSNSアカウントの認証情報
被害者が気づいたときには、すでにさまざまなアカウントが乗っ取られ、金銭的損失も発生していることがあります。
従来型マルウェアとインフォスティーラーの違い
インフォスティーラーは、従来の「破壊・妨害型マルウェア」とは大きく性質が異なります。
以下に代表的な違いをまとめました。
| 比較項目 | 従来型マルウェア | インフォスティーラー(Info Stealer) |
|---|---|---|
| 目的 | システム破壊、表示妨害、金銭請求(ランサム)など | 情報の窃取(静かに盗む) |
| 攻撃手法 | ウイルス、ワーム、トロイの木馬、ランサムウェアなど | 主にトロイ型で密かに動作 |
| 動作の特徴 | ・ファイル破壊やPCロックなど目に見える動作が多い ・ユーザーがすぐ気づく | ・表向きは何も起こらず静かに活動 ・盗んだ情報を外部に送信 |
| ターゲット情報 | システム全体・ランサム対象のファイル | ログイン情報、Cookie、仮想通貨ウォレット、クレカ情報など |
| 感染経路 | USB、メール添付、ドライブバイダウンロードなど | 偽ソフト、SNSリンク、広告、メールなど |
| 検出されやすさ | 動作が派手なので検出されやすい | サイレント動作で検出しにくい |
| マルウェア作者の目的 | 破壊・金銭要求・妨害 | 情報の売買・アカウント乗っ取り・金銭的利益の獲得 |
このように、インフォスティーラーは「気づかれずに情報を盗み出す」ことに特化したスパイ型マルウェアと言えます。
代表的なインフォスティーラーの種類
現在流通している主なインフォスティーラーは以下の通りです。
| 名称 | 特徴 |
|---|---|
| RedLine Stealer | 最も多く使われている。初心者でも扱える |
| Raccoon Stealer | 情報窃取+アップデート機能付き |
| Vidar | カスタマイズ性が高く企業攻撃にも使われる |
| Stealc | WebブラウザやFTP情報も対象 |
| LummaC2 | Cookieセッションも狙う |
これらは闇市場やハッキングフォーラムで「月額サブスク型」で提供されており、誰でも入手可能な時代になっています。
感染の手口と経路
インフォスティーラーは、巧妙な手口でユーザーのPCに侵入します。代表的な方法は次の通りです。
偽ソフトのダウンロードページ
- OBS StudioやNotepad++など、人気ソフトを装った偽サイト
- Google広告で上位に表示され、公式と見分けがつきにくい
メールの添付ファイル
- 「請求書です」「重要なお知らせ」などの件名で送付
- Excelファイルにマクロが埋め込まれていることも
SNSやチャットアプリ経由
- Discord、Telegram、X(旧Twitter)で共有されるファイルやURL
- ゲーム関連や仮想通貨系の話題が多い
クラックソフト・海賊版ソフトに混入
- Adobe製品やWindowsの「無料化ツール」などを装う
- ダウンロードした時点で感染しているケース多数
実際の被害事例
ケース1:仮想通貨がすべて消えた
RedLine Stealerに感染し、MetaMaskの秘密鍵が盗まれ、全資産が不正送金された例。復旧は不可能でした。
ケース2:Xアカウントを乗っ取られた
Cookieとセッション情報が盗まれ、MFA設定にも関わらずアカウントが乗っ取られた。企業アカウントだったため被害は拡大。
ケース3:業務用VPN情報が流出
中小企業の社員が感染。保存されたVPNログイン情報が盗まれ、外部からの不正接続が発生した。
RedLine Stealerの特徴
- 2019〜2020年に登場。現在も広く流通
- MaaS型で月額・永久ライセンス形式で提供
- ブラウザ保存パスワード/Cookie/クレジットカード情報/仮想通貨ウォレット情報を窃取
- 拡散経路は偽ソフトや広告経由、ゲーム系など多岐
- C2通信を使い、感染状況・窃取ログをパネルから確認可能
Cookieセッション盗用(セッションハイジャック)とは?
ログイン後に発行されるセッションCookieが盗まれることで、IDやパスワードなしでアカウントにアクセスできてしまう攻撃です。
被害例
- Okta社では、MFAが設定されていたにもかかわらず、セッショントークンを盗まれ正規ログインと同様に侵入される被害が発生。
- クラウドサービスの共有URLやログイン情報と一緒にCookieが窃取され、別の環境から不正アクセスされた例も。
対策
- セッションの有効期限を短くする
- MFA+デバイス確認などの追加認証の導入
- ログアウトでCookieを確実に無効化する習慣づけ
- ブラウザの保存情報は定期的にクリア
感染を防ぐための6つの対策
- 正規サイトからのみソフトをダウンロードする
- 信頼できないファイルは絶対に開かない
- セキュリティソフトを常に最新に保つ
セキュリティソフトについては以下の記事も参考にしてください。
4. ブラウザへのパスワード保存をやめる
ブラウザのパスワード保存については以下の記事も参考にしてください。
5. 多要素認証(MFA)を必ず設定する
6. 仮想通貨はハードウェアウォレットで管理する
感染の主な兆候
インフォスティーラー(情報窃取型マルウェア)に感染しているかどうかは、目に見えるサインが少ないため判別が難しいです。ただし、いくつかの兆候や確認方法があります。
1. 知らない場所からのログイン通知
- GoogleやMicrosoftなどのサービスから
**「新しい端末からのログイン」**通知が届く - 見に覚えのないIPアドレスや地域が記録されている
2. パスワードの不正利用
- SNS、ECサイト、銀行などで突然ログアウトされる
- パスワードを変更していないのにログインできなくなる
- 不審な注文や送金履歴がある
3. ブラウザの異常
- ブラウザの保存済みパスワードが消える
- 自動入力の挙動がおかしい
- 拡張機能が勝手に追加・変更されている
4. デバイスの動作異常
- CPU使用率やネットワーク通信量が異常に高い
- タスクマネージャーに見慣れない不審なプロセス
- セキュリティソフトが異常検知を繰り返す
感染を調べる方法
直接的に完成を調べられるのはセキュリティソフトでのスキャンになります。しかし、インフォスティーラーは痕跡を残さず情報だけを送信するタイプが多く、検出されにくいものもあります。
また、間接的に感染を確認する方法もいくつかあります。
感染を調べる方法(一般ユーザー向け)
| 方法 | 内容 |
|---|---|
| ✅ セキュリティソフトでスキャン | 主要なセキュリティ対策ソフト(例:Windows Defender, ESET, Nortonなど)でフルスキャン |
| ✅ ブラウザの保存情報を確認 | パスワードやクレジットカード情報の有無を確認し、不審な保存情報や自動入力がないかチェック |
| ✅ 各種サービスのログイン履歴 | Google、Microsoft、Appleなどのアカウントアクティビティページで、不審なログインを確認 |
| ✅ 「Have I Been Pwned?」などの漏洩チェックサイト | 自分のメールアドレスが過去の情報流出に使われたかを確認可能 |
感染してしまったら
インフォスティーラーによってパスワードや個人情報を盗まれた場合の対処法は、スピードと冷静な対応がカギです。以下に 緊急対応の手順とその理由 をわかりやすくまとめます。
インフォスティーラー感染時の緊急対処法(5ステップ)
1. 【別の安全な端末】から重要なアカウントのパスワードを変更
例:Gmail、Apple ID、Microsoft、ネットバンキング、SNS、クラウドストレージなど
- 感染した端末での操作は盗聴されている可能性があるため危険です。
- 2段階認証(2FA)が有効になっている場合は、設定の見直しや再登録も行いましょう。
2. 二要素認証(2FA)を有効化
- 被害を最小限に抑える手段です。
- 認証アプリ(例:Google Authenticator、Microsoft Authenticator)やSMSを利用しましょう。
3. 感染端末をネットワークから切断・スキャン
- Wi-FiやLANケーブルを外し、情報送信をストップ
- セキュリティソフトでフルスキャン&駆除
- 例:Windows Defender、ESET、Kaspersky、Malwarebytes など
- 感染が確実ならOSの初期化も検討してください(バックアップデータにも注意)
4. ブラウザの保存情報・拡張機能の確認と削除
- ChromeやEdgeなどに保存されていた
パスワード、クレジットカード情報、自動入力データを削除 - 見慣れない拡張機能やアドオンも削除する
5. 情報漏えいの影響範囲を調査
- 「Have I Been Pwned?」などの漏えいチェックサイトを利用
- サービス提供元(銀行、ECサイトなど)に不正アクセスやログイン履歴の調査依頼
- クレジットカード会社に連絡して、カード停止や再発行、補償対応を相談
被害が深刻な場合にすべきこと
| 状況 | 対応例 |
|---|---|
| クレジットカードが不正利用された | カード会社へ即連絡、利用停止・再発行 |
| 銀行口座から出金があった | 銀行へ即連絡し、出金履歴の調査・補償申請 |
| 会社のアカウントが侵害された | IT管理者またはセキュリティ担当に報告し、社内手順に従う |
| 個人情報が漏洩した恐れがある | 消費者センターやJPCERT/IPAに相談も視野に |
🧾 関連情報・相談先(日本国内)
- IPA「情報セキュリティ安心相談窓口」
https://www.ipa.go.jp/security/anshin/ - JPCERT/CC「インシデント報告フォーム」
https://www.jpcert.or.jp/form/ - 警察庁サイバー犯罪相談窓口
https://www.npa.go.jp/bureau/cyber/
まとめ
インフォスティーラーは「静かに情報を盗む」ため気づかれにくく、被害は深刻になりがちです。怪しいリンクや添付を開かないことに加え、パスワード管理や多要素認証など、日頃の対策が鍵になります。あなたの情報資産を守るため、今日からできる防御策を実行しましょう。
コメント