デジタルアーツは6月23日、セキュリティレポートを公開した。レポートでは、ランサムウェア被害にあった組織の公表内容をもとに、ランサムウェアの侵入原因の調査、およびメール添付ファイル、URLのマルウェア種別の調査を行い、インフォスティーラーの実態について分析している。その概要は以下のとおり。
2025年3月に警察庁が公開した調査レポート「令和6年におけるサイバー空間をめぐる脅威の情勢等について」では、感染経路(侵入経路)の約9割が「VPN機器」と「リモートデスクトップ」とされていた。
これを受けデジタルアーツでは、ランサムウェアによる被害にあった組織の公表内容をもとに、攻撃者がVPNやリモートデスクトップ用の機器に対して侵入が可能になった原因について(なぜ侵入ができたのか)調査を行った。
その結果、脆弱性や設定不備だけでなく、認証情報をもとに侵入しているケースが一定数存在することが分かった。
「認証情報がそもそもなぜ流出したのか」を探ることは非常に困難で、認証情報が流出する要因としては以下が考えられる。
・フィッシングサイト経由で窃取された
・インフォスティーラーなどのマルウェアにより窃取された
フィッシングというと個人を標的としているイメージが強いものの、業務用の認証情報を狙う攻撃もある。実際に、認証情報を同期する設定にしていた個人アカウントが窃取された結果、同期していた業務利用の認証情報も窃取され、組織内に侵入されたという事例もある。
「インフォスティーラー」(InfoStealer、情報窃取マルウェア)は、ユーザーの個人情報や機密データを、Webブラウザーやメールクライアントなどから不正に収集するマルウェアの一種。ID・パスワードの認証情報に加え、銀行口座情報、クレジットカード番号、電子メールの内容などの情報が、感染した端末から窃取される。
インフォスティーラーはメールの添付ファイルや悪質なWebサイトなどを通じて拡散され、ユーザーが気づかない間に感染することが多く、また難読化や検出回避技術に長けているため発見が難しく、長期間にわたって情報を盗み続けることが可能。これらの理由から、サイバー犯罪者にとって非常に人気のツールとなっている。
デジタルアーツの提供するメールセキュリティ「m-FILTER」のユーザーが受信した、悪性ファイルが添付されたメール(メール隔離/削除数含む)をマルウェア別に分類したところ、上位3つはいずれもインフォスティーラー感染を狙うものとなっていた。
また、デジタルアーツがさまざまなデータソースから収集した悪性URL(フィッシングは含まない)をマルウェア別に分類すると、こちらもインフォスティーラー、もしくはインフォスティーラーをダウンロードさせるためのマルウェアが上位を占めていた。
関連リンク