Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
デジタルアイデンティティが王国の鍵となる時代において、サイバー空間に静かな疫病が蔓延している。情報窃取マルウェア——高度な マルウェア が2025年だけで580万台のデバイスから18億件の認証情報を盗み出し、前年比800%増を記録した。この驚異的な規模の認証情報窃取は現在、全侵害事例の86%を占めており、組織がセキュリティに臨む姿勢を根本から変えつつある。
この脅威の深刻さは2025年10月、1億8300万件のGmail認証情報が闇市場に流出、1アカウントあたりわずか10ドルで販売されたことで否定できなくなった。Googleのシステム侵害ではなかったものの、この大規模な漏洩はエンドポイント感染が企業規模のセキュリティ災害に発展する実態を露呈した。複雑化する環境を守るセキュリティ専門家にとって、情報窃取型マルウェアの理解は選択ではなく、組織の存続に不可欠である。
情報窃取型マルウェアは、マルウェアの特殊なカテゴリーである。 マルウェア であり、感染システムから認証情報、セッショントークン、個人データなどの機密情報を密かに抽出するように設計されています。これらの悪意のあるプログラムはバックグラウンドでステルス動作し、ブラウザに保存されたパスワード、暗号通貨ウォレットの鍵、システム情報、多要素認証を迂回するアクティブなセッションクッキーを収集します。暗号化によって存在を明らかにするランサムウェアとは異なり、インフォスティーラーはデジタルアイデンティティを体系的に略奪しながら検出されないまま活動します。
現代の情報窃取ツールの高度化は、単純なパスワード窃取をはるかに超えている。これらのツールは、ブラウザ履歴、自動入力データ、スクリーンショット、システム構成など、包括的なデジタルプロファイルを抽出する。Malware(MaaS)モデルのもと、犯罪者は月額わずか200ドルで高度な情報窃取プラットフォームへのアクセス権をレンタルでき、技術的な参入障壁が取り除かれている。このサイバー犯罪ツールの民主化により、認証情報の窃取は専門的なスキルからコモディティ化されたサービスへと変貌を遂げた。
情報窃取型マルウェアのビジネスモデルは、それがサイバー犯罪の主要な武器となった理由を明らかにする。盗まれた認証情報は高度な闇経済を流通し、初期アクセスブローカー(IAB)が侵害されたアカウントへのアクセス権を購入・パッケージ化し再販する。単一の企業認証情報が価値あるネットワークへのアクセスを提供する場合、数千ドルで取引されることもある。この経済的インセンティブが、回避技術と標的選定戦略の継続的な革新を促進している。
これらの数字は、情報窃取型マルウェアの蔓延という厳しい実情を浮き彫りにしている。2025年上半期だけで18億件の認証情報が盗まれ、これは直前の6か月間に比べて800%の増加となった。また、2024年通年では32億件が盗まれ、そのうち75%は情報窃取型マルウェアによって盗まれたものである(IBM X-Force、2024年)。 現在、世界全体で1件の侵害事故による平均的な損害額は444万ドルに達し、米国では1,022万ドルに上っています。地域別の分析によると、感染はインド(10%)とブラジル(8%)に集中していますが、影響を受けていない地域は存在しません。
法執行機関は、これまでで最も強力な協調的対応を展開した。2024年の「オペレーション・エンドゲーム」では、情報窃取型マルウェアの中核インフラを解体し、続く2025年のインターポールによる「オペレーション・セキュア」では、2万件の悪意あるIPアドレスとドメインを遮断、41台のサーバーを押収、32人の容疑者を逮捕し、21万6000人の被害者に通知を行った。 しかし、それぞれの作戦から数日以内に新たなインフラが出現しており、摘発は一時的な妨げにはなるものの、分散化と迅速な再構築を基盤とするエコシステムを追い越すことはできないことが裏付けられた。
アイデンティティ脅威検知・対応(ITDR)ソリューションを導入している組織では、検知率が大幅に改善されたと報告されているが、感染から発見までの期間は依然として平均4日間となっている。
インフォスティーラーの技術的メカニズムを理解することで、従来のセキュリティ対策がしばしば失敗する理由が明らかになる。これらの高度なツールは、複数の抽出手法、高度な回避技術、そして強靭なコマンド&コントロール基盤を活用し、被害者のデータストリームへの持続的なアクセスを維持する。
感染の連鎖は通常、技術的な脆弱性ではなく人間の心理を悪用する ソーシャルエンジニアリングから始まる。悪意のある添付ファイルを配信するフィッシング 依然として主要な感染経路だが、マルバタイジングや改ざんされたソフトウェアダウンロードは、ClickFixキャンペーンなどの取り組みを通じて700%急増している。一度実行されると、情報窃取型マルウェアは直ちにブラウザ、メールクライアント、パスワードマネージャーから保存された認証情報を収集し始めると同時に、攻撃者のインフラとの通信を確立する。
現代の情報窃取マルウェアは、高度な回避技術を用いてセキュリティ対策を迂回する。プロセスホローイングで正規アプリケーション内に潜伏し、検知 回避策を駆使し、メモリ内のみで動作するファイルレス手法を活用する。StealC V2のJSONベースC&Cプロトコルはこの進化を体現しており、標的環境に応じて動的に動作を調整しつつ、ネットワーク監視に耐性のある暗号化通信チャネルを維持する。
抽出プロセスは系統的な順序に従う:
認証情報を効率的に抽出するため、情報窃取型マルウェアはOSに不正侵入するのではなく、表向きの手段を利用します。これらは、ブラウザやパスワードマネージャー、企業向けアプリケーションが日常的に依存しているのと同じ正規のWindows APIを呼び出すため、その動作が通常のプロセス動作に溶け込んでしまうのです。 悪意のあるシグネチャを監視するエンドポイントエージェントは、一見すると日常的なシステムコールのように見えるものを検知することはほとんどありません。これらは、情報窃取型マルウェアが標的とする具体的なコンポーネント、各コンポーネントが保持する内容、そして正規のAPIを認証情報の収集ツールに変えるために使用される正確な手法です。
MaaSモデルは情報窃取ツールをカスタムツールから商用製品へと変貌させた。月額200ドルで犯罪者はカスタマイズ可能な高度なプラットフォームへのアクセス権を獲得する マルウェア ビルダー、防弾ホスティング、自動化されたキャンペーン管理、リアルタイム統計ダッシュボードなど、洗練されたプラットフォームへのアクセス権を得られる。このサブスクリプションモデルは継続的な更新を提供し、 マルウェア が検知シグネチャを常に先行させることを保証する。
プラットフォーム運営者は技術的な複雑性を扱い、「顧客」は流通に注力する。モジュール式アーキテクチャなどの機能により、攻撃者は特定の機能を選択でき、ファイルサイズと検知プロファイルを低減できる。Acreedの2025年リリースはこの傾向を体現しており、ブラウザ窃取、暗号通貨標的攻撃、企業認証情報収集向けのカスタマイズ可能なモジュールを提供する。競争的な市場がイノベーションを促進し、ベンダーはマルチモニタースクリーンショットや強化された解析回避機能などの追加を競っている。
MaaSプラットフォームの経済的効率性がその爆発的成長を説明している。月額200ドルのコストと、侵害された企業アカウント1件あたり数千ドルの潜在的収益を比較すれば、投資利益率(ROI)が明らかになる。このアクセス容易性により、脅威アクターの範囲が高度なグループから機会主義的な犯罪者へと拡大し、組織が防御すべきアタックサーフェスが拡大している。
配布戦略は従来のメール添付ファイルを超えた進化を遂げている。ClickFixキャンペーンは洗練されたソーシャルエンジニアリングを実演し、偽のエラーメッセージを表示してユーザーに悪意のあるPowerShellコマンドの実行による「修正」を促す。これらのキャンペーンは、ソフトウェア更新プロンプト、ブラウザ通知、システムアラートといった信頼されたコンテキストを悪用し、ユーザーの疑念を回避する。
サプライチェーン攻撃は新たな攻撃経路として台頭しており、攻撃者は正規ソフトウェアを侵害して情報窃取型マルウェアを拡散させる。Snowflakeインシデントでは6種類の異なる情報窃取型マルウェアが関与し、感染したサードパーティ製ツールを通じて165の環境が侵害された。検索エンジン最適化(SEO)ポイズニングは、偽のソフトウェアクラックやゲーム改造版をホストする悪意のあるサイトへトラフィックを誘導し、特にセキュリティリスクへの認識が低い若年層を標的としている。
マルバタイジングキャンペーンは、情報窃取型マルウェアを配布するために正規の広告枠を購入し、信頼されるプラットフォームを利用して被害者に到達する。これらの広告は人気ソフトウェアを偽装することが多く、悪意のあるペイロードをホストする説得力のあるダウンロードページへ誘導する。地理的および人口統計学的ターゲティングにより、キャンペーンは価値の高い標的(税務シーズン中の金融専門家、大型リリース時のゲーマー、試験期間中の学生など)に確実に到達する。
情報窃取型マルウェアの生態系には多様な亜種が存在し、それぞれが独自の機能と標的プロファイルを有している。これらの差異を理解することで、セキュリティチームは検知戦略の優先順位付けと防御リソースの効果的な配分が可能となる。
2025年、市場は大きな混乱を経験した。法執行機関による摘発で既存勢力が壊滅する一方、新たな亜種が急速に空白を埋めた。この絶え間ない進化により、セキュリティチームは現行の脅威インテリジェンスを維持しつつ、新たな脅威への備えを迫られている。マルウェア パターンが確認されるものの、各ファミリーは独自の特性を保持しており、個別対応型の検知手法が求められる。
競争はイノベーションを促進し、開発者は自社製品を差別化する機能の追加を競い合っている。高度な回避技術、標的アプリケーションの拡大、データ窃取手法の改良がアップデートで頻繁に確認される。脅威インテリジェンスプラットフォームはこうした動向を追跡し、検知に不可欠な侵害の兆候や 振る舞い セキュリティチームに提供する。
ルマ・スティーラーは月間1,200件の検索数を記録し市場を席巻しており、サイバー犯罪者層における広範な普及を反映している。この亜種は、2025年5月にマイクロソフトとクラウドフレアが関連ドメイン2,300件を押収したにもかかわらず、検知件数が369%増加した。その回復力は分散型インフラストラクチャと法執行機関の措置への迅速な適応に起因する。
技術分析により、LummaがChrome、Firefox、Edgeのパスワード保存機能を標的とした高度なブラウザ情報抽出機能を含む洗練された能力を有することが判明した。malware 複数の分析回避技術malware 、仮想マシンやサンドボックス環境を検知することで自動分析を回避する。モジュール式アーキテクチャにより、オペレーターは標的プロファイルに基づき機能の追加・削除を行いペイロードをカスタマイズ可能である。通信はドメイン生成アルゴリズム(DGA)を用いた暗号化チャネルを介して行われ、対策の困難化に寄与している。
ルマの成功は、洗練性と実用性のバランスを反映している。管理パネルはリアルタイム統計、自動ログ解析、組み込み収益化ツールを提供する。オペレーターは盗まれた認証情報を価値でフィルタリングでき、企業アカウントや仮想通貨ウォレットといった高価値ターゲットを自動識別する。この効率性により、ルマは高度なグループから初心者レベルの犯罪者まで、幅広い層に選ばれる選択肢となっている。
2025年には3つの新たな亜種が重大な脅威として出現し、それぞれが情報窃取型マルウェアの生態系に独自の機能をもたらしている:
Acreed Stealerは2025年初頭にリリースされ、モジュール設計により機能のカスタマイズ選択が可能。月額200ドルという競争力のある価格で、ブラウザ認証情報、暗号通貨ウォレット、システム情報を標的とする。そのアーキテクチャはステルス性を重視し、正当なWindowsプロセスを利用した注入を行い、一般的な検知パターンを回避する。配布は主にフィッシングを通じて行われる。 フィッシング やマルバタイジングキャンペーンを通じて行われ、企業ユーザーを標的としています。
StealC V2(モンスターV2)は2025年11月にバージョン2.2.4をリリースし、法執行機関による摘発から得た教訓を反映した。 月額200ドルのサブスクリプションには、回避能力向上のためのJSONベースのコマンド&コントロールプロトコル、機密情報を取得するためのマルチモニタースクリーンショット機能、セッション復元ファイルを含む強化されたブラウザデータ抽出機能が付属する。StealC V2の反分析技術は最新のEDRソリューションを検知 回避検知 、情報窃取型マルウェア全体で観測される66%の回避率に貢献している。
Nexus Stealerは、RedLineの市場混乱を受けて急速にシェアを拡大し、高度な認証情報収集とセッショントークン窃取に焦点を当てている。その機能には、パスワード管理データベースの標的化、二要素認証バックアップコードの抽出、サイト分離を回避する高度なクッキー窃取が含まれる。Nexusは次世代情報窃取ツールであり、標的優先順位付けと窃取された認証情報の自動悪用に機械学習を組み込んでいる。
現実世界の事例は、情報窃取型マルウェアが組織的災害へと発展する過程を明らかにしている。これらの事例は、攻撃パターン、影響規模、そして認証情報の侵害に続く連鎖的な障害を浮き彫りにしている。
Snowflakeのサプライチェーン侵害事件は 、情報窃取型マルウェアが如何に複雑で多段階にわたる攻撃を可能にするかを浮き彫りにしました 。6種類の異なる情報窃取型マルウェアが開発者のマシンを侵害し、そこから盗み出された認証情報を用いて、後に165の顧客環境へのアクセスが行われました。この攻撃は、ベンダーと顧客間の信頼関係を悪用し、従来のセキュリティ境界を迂回しました。この事件を受け、業界全体でクラウドセキュリティ対策、特にサードパーティのアクセス管理に関する見直しが迫られました。
2025年10月に発生した1億8300万件のGmail認証情報の流出事件は、現代における認証情報窃取の膨大な規模を如実に物語っている。Synthient Stealerやその派生ツールを通じて収集されたこの400GBのデータセットが闇市場に大量に出回った結果、認証情報の価格は1アカウントあたり10ドルという過去最低水準まで下落した。Googleが講じた対応策――大規模なパスワードのリセットや監視体制の強化――は、先手を打つ攻撃者に対する現在の防御策がいかに事後対応的なものであるかを浮き彫りにした。
2025年11月の「オペレーション・エンドゲーム」による摘発により、情報窃取型マルウェアの活動を支えるインフラが明らかになった。 1,025台以上のサーバーと20のドメインが押収されたことで、10万件以上の侵害された仮想通貨ウォレットへのアクセスが遮断された。しかし、その数日後には新たなインフラが出現し、情報窃取エコシステムの強靭さが示された。法執行機関とオペレーターとのいたちごっこは続いており、摘発のたびに一時的な安堵がもたらされるものの、亜種が適応して再び姿を現すという状況が続いている。
Axiosのサプライチェーン侵害により、情報窃取型マルウェアの脅威が、企業開発環境で最も広く使用されているJavaScriptライブラリの一つにまで拡大しました。攻撃者は、情報窃取型マルウェアの手口に則り、盗んだ開発者の認証情報を使用して、信頼されている依存関係に悪意のあるコードを注入し、侵害が検出される前に下流の組織を危険にさらしました。この事件は、Snowflakeの事例によって明らかになったパターンを裏付けるものであり、単一の開発者アカウントからの認証情報の盗難が、信頼されているソフトウェアのサプライチェーンを通じて、数百件もの組織への侵害へと連鎖的に広がる可能性があることを示しています。
Axiosのセキュリティ侵害がサプライチェーンのセキュリティ上の脆弱性をいかに露呈したか、その詳細はこちら →
ランサムウェアの被害者の半数以上において、事前に情報窃取ツールの痕跡が確認されており、これにより、認証情報の窃取はランサムウェアと並行する脅威ではなく、その最も確実な前兆であることが明らかになった。盗まれた認証情報は、悪用するために専門のグループに販売されており、情報窃取ツールはその一連のプロセスの一貫した第一段階として機能している。 HellCatランサムウェアの攻撃キャンペーンは、この一連の流れを如実に示しており、ステラーのログから取得したJIRAの認証情報を使用して初期アクセス権を獲得した。侵入に成功すると、攻撃者は権限を昇格させ、横方向への移動を行い、ランサムウェアを展開し、数百万ドル規模の損害をもたらした。
Recorded Futureは、2025年に追跡されたインシデント全体において、情報窃取型マルウェアが主要な初期感染経路であると特定した。単一malware 1暦年を通じてその地位を占めたのは、これが初めてのことである。
認証情報の窃取からランサムウェアの展開までのタイムラインは平均4~7日ですが、高度なグループはより迅速に動けます。この期間が検知とレスポンスの重要な時期となります。数時間以内に認証情報の窃取を検知・対応した組織は事態の拡大を防げますが、数日を要した組織は必然的に侵害に直面します。平均4日の検知時間を考慮すると、大半の組織は攻撃者が既に窃取データを金銭化した後に感染を発見することになります。
情報窃取型マルウェアに対する効果的な防御には、技術的対策、プロセス改善、ユーザー教育を組み合わせた多層的な戦略が必要です。エンドポイント検知の回避率が66%に達している事実は、組織が単一のセキュリティ層に依存できない理由を示しています。
検出戦略は、情報窃取型マルウェアのステルス性とポリモーフィック能力を考慮しなければならない。 現代の亜種は、プロセスホローイング、ランド利用型戦術、暗号化通信といった高度な回避技術を採用している。振る舞い 、malware ではなく異常な活動パターンに焦点を当てるため、シグネチャベースの手法よりも信頼性の高い検知を提供する。メモリフォレンジックはRAM内のみで動作する情報窃取型マルウェアを明らかにし、ネットワーク検知とレスポンス(NDR)ソリューションは不審なデータ流出パターンを特定する。
予防には技術的脆弱性と人的要因の両方への対応が不可欠である。技術的制御は重要な保護手段となるが、ユーザーの行動が依然として主要な感染経路である。組織はセキュリティ要件と利便性のバランスを取り、保護策が生産性を阻害しないよう確保しなければならない。情報窃取技術の急速な進化により、過去の防御策では今日の脅威に対処できず、継続的な適応と改善が求められる。
効果的な検出方法には以下が含まれます:
エンドポイント検出・対応(EDR)ソリューションは、最新の情報窃取型マルウェアの検出において大きな課題に直面しています。66%という回避率は、エンドポイントセキュリティを無効化するために特別に設計された高度な回避手法を反映しています。 この脆弱性はデバイスレベルで最も顕著である。侵害されたシステムの30%は管理対象の企業所有デバイスであったのに対し、46%は管理対象外のBYOD(個人所有デバイス)であり、これは全感染事例のほぼ半数が、企業のエンドポイント対策プログラムの適用範囲外で発生していることを意味する(INTERPOL, 2025)。
情報窃取型マルウェアは、認証情報の抽出に正規のWindows APIを利用するため、EDRソリューションからは正常な動作のように見えます。これらは短時間だけ動作し、データを抽出してから、検知アルゴリズムが不審な活動を検知する前に終了します。
現代の亜種は、APIフックを回避する直接システムコール、信頼されたアプリケーションへのプロセス注入、ユーザーモード監視を回避するカーネルレベル操作など、複数のEDR対策技術を採用している。これらは検知 やサンドボックス環境検知 、分析下では休眠状態を維持する。一部の亜種は特にEDRプロセスを標的とし、認証情報の抽出を開始する前にセキュリティツールを無効化または破壊しようとする。
解決策はEDRを放棄することではなく、補完的な技術で強化することである。アイデンティティ脅威検知・対応(ITDR)ソリューションは、エンドポイントの挙動ではなくアイデンティティに基づく異常性に焦点を当てる。ネットワーク検知はエンドポイントの回避策にかかわらずデータ流出を特定する。欺瞞技術はハニークレデンシャルを作成し、アクセス時にアラートを発動させる。この多重防御アプローチは、エンドポイントの可視性を維持しつつEDRの限界に対処する。
情報窃取型マルウェア感染への効果的なインシデント対応は、スピードが鍵を握る。認証情報リセットにおける4時間というサービスレベル契約(SLA)はベストプラクティスだが、これを達成するには事前準備と自動化が不可欠である。対応が遅れるごとに、認証情報の悪用や二次攻撃が発生する可能性が高まる。
即時対応措置は封じ込めと認証情報の無効化に重点を置く必要がある。これには、感染システムのネットワークアクセス遮断、侵害の可能性のある全パスワードのリセット、アクティブなセッションと認証トークンの無効化、不審な認証行為の有無に関するアクセスログの検証が含まれる。組織は調査のための証拠保全を図りつつ、影響を受けたユーザーとパートナーに通知すべきである。追加認証要素を一時的に導入し、認証情報の再利用試行を監視することで、さらなる侵害の防止に役立つ。
復旧は技術的な修復を超えて、プロセスの改善とユーザー教育を含む。組織は再発防止のため感染経路を分析し、得られた教訓に基づいてセキュリティ対策を更新し、同様の攻撃パターンに対する監視を強化しなければならない。ユーザートレーニングでは具体的なソーシャルエンジニアリングの手法に対処すべきであり、セキュリティチームは経験に基づいてインシデント対応手順を見直すべきである。漏洩した認証情報をダークウェブで監視し、定期的なセキュリティ評価を実施することで、継続的なリスクの特定が可能となる。
規制枠組みは、資格情報の盗難を重要なコンプライアンス問題として認識する傾向が強まっている。組織は、認証システムとユーザーIDを保護する包括的な管理策を実施する圧力に直面している。
MITRE ATT&CK 、情報窃取者の行動を複数の技術(T1003(OS認証情報のダンプ)、T1555(パスワード保存庫からの認証情報取得)、T1539(Webセッションクッキーの窃取)、T1056(入力のキャプチャ)、T1005(ローカルシステムからのデータ取得)など)にマッピングします。このマッピングにより、組織は防御戦略を認識された脅威パターンに整合させることが可能となります。コンプライアンスフレームワークは、セキュリティ要件を定義する際にこれらの技術を参照します。
NISTサイバーセキュリティフレームワーク2.0は、複数の制御ファミリーを通じて情報窃取型脅威に対処する。PR.AC(ID管理とアクセス制御)は強力な認証と認証情報の保護を要求する。DE.CM(セキュリティ継続的監視)は認証情報窃取の検知機能を義務付ける。RS.AN(分析)は侵害の疑いに対する調査手順を要求する。これらの制御は業界横断的な規制順守の基盤を形成する。
EUのNIS2指令(2024年10月施行)は、特に認証情報の侵害に対処する。組織は重大なインシデントを24時間以内に報告し、詳細な報告書を72時間以内に提出しなければならない。重要サービスに影響する認証情報の窃取が発生した場合、国家当局への通知が義務付けられる。非遵守に対する罰則は全世界年間売上高の2%に達し、不十分な管理による財務リスクを強調している。
セキュリティ業界は、従来の境界防御を超えて進化し、認証情報の窃取にはアイデンティティ中心の戦略が必要であることを認識している。現代的なアプローチは侵害を前提とし、アーキテクチャの変更や新興技術を通じて影響を限定することに焦点を当てている。
ゼロトラスト・アーキテクチャは、組織における認証情報セキュリティへのアプローチを根本的に変革します。認証済みユーザーを暗黙的に信頼するのではなく、ゼロトラストは継続的にIDと権限を検証します。このアプローチは、機密性の高い操作に対して追加の検証を要求することで、盗まれた認証情報の価値を制限します。マイクロセグメンテーションは侵害を封じ込め、有効な認証情報であっても横方向の移動を防止します。最小権限の原則により、侵害されたアカウントは必要なリソースのみにアクセスできるようになります。
自動化されたダークウェブ監視は、予防的防御に不可欠となっている。サービスは組織の認証情報を地下市場で継続的にスキャンし、侵害の早期警告を提供する。ID管理システムとの連携により、認証情報がオンラインに現れた際の自動対応が可能となる。機械学習アルゴリズムは標的型攻撃を示唆するパターンを特定し、脅威インテリジェンスフィードは新たな攻撃キャンペーンに関する文脈情報を提供する。この予防的姿勢により、組織は事後対応型から予測型セキュリティポスチャへと移行する。
デバイスバウンドセッション認証情報(DBSC)は、認証セキュリティの次なる進化形です。この新興技術は、セッショントークンを特定のデバイスに暗号的に紐付けることで、クッキーが盗まれた場合でもリプレイ攻撃を防止します。初期実装では有望な結果が示されていますが、広範な普及にはブラウザとアプリケーションのサポートが待たれます。現在93%のユーザーアカウントでサポートされているFIDO2パスキーは、 フィッシング対策認証により即時保護を提供し、情報窃取型マルウェアによる侵害を防ぎます。
Vectra AIは、アイデンティティを中核に据えたアプローチで情報窃取型マルウェアの検知に取り組み、ネットワーク信号とアイデンティティ信号を組み合わせて、データが外部へ流出する前に認証情報の窃取試行を特定します。Attack Signal Intelligence™は、すぐに陳腐化malware 依存するのではなく、すべての情報窃取型マルウェアが必ず示す一貫した行動、すなわち認証情報の保存場所へのアクセス、コマンドチャネルの確立、データの外部流出に焦点を当てています。アイデンティティの異常とネットワークパターンを関連付けることで、セキュリティチームは従来のエンドポイント保護を迂回する攻撃を可視化できるようになります。
Vectra AIの行動分析AIモデルは、認証情報の窃取に続く感染後の活動、異常な認証パターン、盗まれた認証情報を利用した横方向の移動、権限昇格、および機密リソースへの不審なアクセスを検知します。これらは、関与している特定のインフォスティーラー・ファミリーに関する事前の知識を必要としません。 これらの検知結果は、MITRE ATT&CK (TA0006)」および「収集(TA0009)」の手法に直接対応しており、SOCチームはフレームワークに準拠したシグナルを即座に把握し、迅速な対応が可能になります。
攻撃者のインフラから盗まれたセッショントークンが使用された場合、新たなログインイベントは発生せず、MFAの認証要求も発動しません。Vectra AIは、IDがどのように認証され、環境間を移動するかを追跡し、使用されている認証情報が技術的に有効である場合でも、確立された基準からの行動の逸脱を検知します。これは、ログベースのシステムやエンドポイントエージェントでは、大規模な環境で確実に提供できない検出機能です。
情報窃取型マルウェアの感染事例の66%はエンドポイントセキュリティを迂回しており、その多くは管理対象外または個人所有のデバイスから始まっているため、Vectra AIのネットワークレベルの可観測性は、管理対象か否かを問わず、ネットワーク上で通信を行うすべてのデバイスを網羅しています。感染したデバイスに管理対象のエージェントがインストールされているかどうかにかかわらず、不審なデータ流出のパターン、C2通信の特性、および異常なアウトバウンド転送をネットワークレベルで監視することが可能です。
Vectra AIのリアルタイムストリーミングエンジン「Jetstream」は、認証情報の不正利用を示す初期の兆候と、その後の横方向の移動や権限昇格を、単一の相関付けられた攻撃シナリオとして結びつけます。これにより、セキュリティチームは、手動での相関分析を必要とする孤立したアラートではなく、感染後の活動の全容を把握できるようになります。その結果、攻撃者が認証情報の窃取からランサムウェアの展開へと移行する前に、より迅速かつ確実な対応が可能になります。
Vectra AIが、情報窃取型マルウェアが感染後に残す痕跡や、エンドポイントエージェントやログ分析ツールでは検出できないネットワークおよびIDの挙動をどのように特定するのか、その仕組みをご紹介します。
サイバーセキュリティ環境は急速に進化を続けており、情報窃取型マルウェアが新たな脅威の最前線に立っている。今後12~24か月で、組織は資格情報窃取対策の在り方を再構築するいくつかの重要な動向に備える必要がある。
人工知能は攻撃能力と防御能力の両方を変革している。攻撃者は説得力のあるフィッシングを仕掛けるためにAIを活用している。 フィッシング メッセージの作成、盗まれたデータセットから高価値ターゲットの自動識別、ポリモーフィック型 マルウェア を開発している。振る舞い 、自動化された脅威ハンティング、標的候補を特定する予測モデルで対抗する。このAI軍拡競争は2026年まで加速し、技術の成熟に伴い攻撃側と防御側の優位性が入れ替わるだろう。
量子コンピューティングは、保存された認証情報を保護する現行の暗号化手法に対し、長期的な脅威をもたらす。実用的な量子コンピュータの実現にはまだ数年を要するが、組織は「即時収集・後解読」攻撃(攻撃者が将来の解読を目的に暗号化データを窃取する手法)への対策を早急に開始すべきである。NISTが2024年に最終決定したポスト量子暗号規格は、認証システム全体での実装を要求する。組織は暗号依存関係を洗い出し、量子耐性アルゴリズムへの移行計画を策定する必要がある。
資格情報の窃取に起因する大規模な侵害事件を受け、規制圧力はさらに強まる見込みである。EUのNIS2指令は、侵害通知の義務化や不十分な管理に対する多額の罰則など、他地域が追随する可能性が高い先例を確立した。米国で提案されている連邦プライバシー法案には、資格情報の保護と本人確認に特化した条項が含まれている。国際的に事業を展開する組織は、複雑な要件の寄せ集めに直面しており、包括的なアイデンティティセキュリティプログラムが不可欠である。
今後24ヶ月間の投資優先事項は、3つの重要な領域に重点を置く必要があります。第一に、組織はパスキーの導入を加速し、2026年第2四半期までに特権アカウントの100%カバー率を目標とする必要があります。第二に、ITDRの導入はパイロットプログラムから、すべてのアイデンティティストアを網羅する本番環境への実装へと拡大する必要があります。第三に、ゼロトラスト・イニシアチブは、概念フレームワークから、継続的な検証とマイクロセグメンテーションを備えた運用アーキテクチャへと移行する必要があります。
IT環境とOT環境の融合は、情報窃取型マルウェアにとって新たなアタックサーフェスを生み出している。産業用制御システムが企業ネットワークに接続されるケースが増加し、運用技術が認証情報窃取のリスクに晒されている。侵害された技術者の認証情報は重要インフラへのアクセスを可能にし、データ窃取を超えた物理的損害をもたらす可能性のある内部者脅威シナリオを創出する。組織はOT環境を包含するようアイデンティティセキュリティプログラムを拡張し、産業システム向けの専門的な制御を実施しなければならない。
情報窃取型マルウェアの蔓延は、派手な攻撃ではなく、より低コストな攻撃を通じて、静かに脅威の様相を一変させました。2025年だけで18億件の認証情報が盗まれ、情報漏洩の86%が認証情報の窃取を伴う中、組織はもはやIDセキュリティをネットワーク保護の二の次として扱うことはできません。 月額わずか200ドルで利用可能なLumma、Acred、StealC V2といった高度な亜種の登場により、高度な攻撃能力が広く普及する一方、EDRの回避率が66%に達していることは、現在の防御体制に重大な欠陥があることを露呈している。
情報窃取型マルウェアへの対策として成功を収めるには、完全な防止を目指すのではなく、システムが侵害されたことを前提とした、ID中心のセキュリティ戦略を採用する必要があります。組織は、現在アカウントの93%でサポートされているFIDO2パスキーの導入を加速させると同時に、malware に関わらず認証情報の盗難試行を検知するITDRソリューションを導入しなければなりません。
Vectra AIのネットワーク、ID、クラウドを横断する振る舞い検知が、情報窃取型マルウェアが感染後に残す痕跡をどのように明らかにするかをご覧ください。これらは、エンドポイントエージェントやログベースのツールでは検出できないシグナルです。
情報窃取型マルウェアは、その運用目的と手法においてmalware 根本的に異なる。ランサムウェアがファイル暗号化と身代金要求によって存在を明らかにするのに対し、情報窃取型マルウェアは検知を回避しつつ貴重なデータを抽出するため、静かに動作する。手動制御のための持続的なバックドアアクセスを維持するリモートアクセストロイ(RAT)とは異なり、情報窃取型マルウェアは抽出プロセスを自動化し、通常は任務完了後に自己削除する。
情報窃取型マルウェアは非永続的な性質を持つため、検知 が特に困難である。ボットネットのように継続的なコマンド&コントロール通信を必要とせず、短時間の強奪作戦を実行する。その目的が認証情報やデータ窃取に限定されているため、セキュリティアラートを誘発するシステム改変を回避する。この外科的アプローチと高度な回避技術が組み合わさり、66%が従来のエンドポイント保護を突破する理由を説明している。 ビジネスモデルも異なり、情報窃取型マルウェアはツールではなくサービスとして販売されるため、サイバー犯罪者の参入障壁が低くなっている。
従来のアンチウイルスソフトウェアは、現代の情報窃取型マルウェアの検知において重大な限界に直面している。研究によれば、66%がエンドポイント検知とレスポンス(EDR)ソリューションを回避することに成功している。この高い回避率は、感染ごとに変化するポリモーフィックコード、一見無害に見える正当なAPI使用、セキュリティツールを検知する高度な分析回避技術など、複数の要因に起因する。情報窃取型マルウェアはしばしばメモリ内のみで動作し、シグネチャベースの検知のためのフォレンジック痕跡を最小限に留める。
解決策はアンチウイルスを放棄することではなく、振る舞い とアイデンティティ中心のセキュリティでそれを強化することです。ITDRソリューションは、基盤となるマルウェアの種類に関わらず、異常な認証情報アクセスパターンを監視します。 マルウェアを問わず監視します。ネットワーク検知は、エンドポイントセキュリティが機能しない場合でも、不審なデータ流出を特定します。組織は、アプリケーション制御、ブラウザ分離、継続的な認証監視などの追加レイヤーを導入しながら、更新されたアンチウイルスを基本防御として維持すべきです。制御された情報窃取型マルウェアサンプルを用いた検知能力の定期的なテストは、実際の攻撃がそれらを悪用する前にギャップを特定するのに役立ちます。
盗まれた認証情報は、確立された市場、価格モデル、流通経路を備えた洗練された闇経済に流入する。まず情報窃取オペレーターは、取得したデータを価値別に分類する——企業アカウント、銀行認証情報、仮想通貨ウォレットは高値で取引される。大量の認証情報は自動検証され、有効なアカウントが確認されると同時に無効なエントリは除外される。初期アクセスブローカー(IAB)は高価値な企業認証情報を購入し、ランサムウェアグループや高度持続的脅威(APT)アクター向けに再パッケージ化して販売する。
地下市場は、評判システム、カスタマーサポート、返金保証を備えた正規の電子商取引のように運営されている。価格は標的の価値によって大きく変動する——フォーチュン500企業の幹部の認証情報は5万ドルで取引される一方、一般消費者のアカウントは10~50ドルで取引される。 サイバー犯罪者は盗んだ認証情報を即座に金銭化するため、不正購入・送金、取引先や顧客を標的としたビジネスメール詐欺(BEC)、デジタルウォレットから仮想通貨を搾取する行為に利用する。国家主体のアクターはサイバー諜報活動や情報収集のために認証情報を入手し、競合企業は企業スパイ活動に利用する。金銭化のスピードが速いため、組織は認証情報盗難への対応に数日ではなく数時間しか猶予がない。
業界のベストプラクティスでは、情報窃取型マルウェア感染が確認された後の認証情報リセットについて、4時間のサービスレベル契約(SLA)が定められている。しかし現状の検知平均時間は4日と遅れている。この理想と実態の対応時間の差こそが、攻撃者が盗んだ認証情報を金銭化する機会となる。 1時間の遅延ごとに二次攻撃、ラテラルムーブ、データ流出のリスクが増大する。感染を24時間以内に検知した組織は下流攻撃の92%を防止できる一方、それ以上を要する組織はほぼ確実に侵害される。
即時対応には準備された手順と自動化が不可欠である。最初の1時間以内に感染システムを隔離し、フォレンジック保全を開始する。2~3時間目は影響を受けたユーザーの認証情報リセット、アクティブセッションの無効化、セキュリティチームへの通知に注力する。4時間目までに影響を受けたアカウントの強化監視を実施し、関連する感染の脅威ハンティングを開始する。 事後活動には、潜在的に漏洩した可能性のある全アカウントの包括的なパスワードリセット、追加認証要素の導入、漏洩資格情報のダークウェブ監視、特定攻撃ベクトルに関するユーザー教育が含まれる。組織は四半期ごとに応急処置手順をテストする訓練を実施し、実際の感染発生時にチームが4時間SLAを満たせることを保証すべきである。
はい、パスキーは暗号設計により資格情報の窃取を不可能にするため、情報窃取型マルウェアに対して卓越した保護を提供します。 ブラウザやパスワード管理ツールに保存されるパスワードとは異なり、パスキーは公開鍵・秘密鍵暗号技術を採用しており、秘密鍵は端末外に流出することはありません。情報窃取者がブラウザデータを抽出しても、ハードウェアセキュリティモジュールに保存された暗号鍵にはアクセスできません。現在93%のユーザーアカウントがFIDO2パスキーをサポートしており、この技術は現在利用可能な認証情報窃取対策の中で最も効果的な防御手段です。
パスキーのフィッシング耐性は、技術的な攻撃とソーシャルエンジニアリング攻撃の両方に対処します。暗号化プロトコルによって要求元のドメインが検証されるため、ユーザーが偽のウェブサイトに誤ってパスキーを提供することはありません。これにより、インフォスティーラーにとって主要な感染経路(ユーザーが悪意のあるサイトで認証情報を入力すること)が排除されます。ただし、レガシーアプリケーションのサポート、ユーザー教育の要件、アカウント復旧手順など、実装上の課題は依然として存在します。組織は、特権アカウントと高価値ターゲットへのパスキーの導入を優先し、ユーザーがこのテクノロジーに慣れてきたら、徐々に適用範囲を拡大していく必要があります。ゼロトラスト・アーキテクチャとITDRモニタリングと組み合わせることで、パスキーは多層防御を実現し、認証情報盗難リスクを大幅に低減します。
情報窃取型マルウェアは、セッションクッキーの窃取を通じて多要素認証(MFA)を回避し、ユーザーが多要素認証のチャレンジを完了した後に認証済みセッションをキャプチャします。ユーザーが認証を行うと、ウェブサイトはログイン状態を維持するセッションクッキーを作成します。情報窃取型マルウェアはブラウザのストレージからこれらのクッキーを抽出するため、攻撃者はパスワードを知らなくても、MFAデバイスを所持していなくても、認証済みセッションを再生することが可能になります。この手法はセッションハイジャックとして知られ、ハードウェアトークンや生体認証を含む最も強力なMFA実装さえも迂回します。
高度な亜種はリアルタイムの フィッシング プロキシを悪用し、ユーザーが入力するMFAコードを傍受します。攻撃者のインフラは被害者と正規サイトの間に位置し、認証要求を中継しながらレスポンスをキャプチャします。一部のインフォスティーラーは、パスワードマネージャーやブラウザのメモに保存されたMFAバックアップコードを特に標的にします。 また、認証アプリのシード値を抽出する手法もあり、これにより攻撃者は有効なTOTPコードを生成可能となる。防御策としては、リプレイ攻撃に耐性のあるFIDO2パスキーの導入、デバイス固有セッション認証(DBSC)の展開、不可能な移動経路や異常なアクセスパターンの監視、機密性の高い操作に対する再認証の要求が求められる。組織はさらに、短いセッションタイムアウトの設定と、ログイン時だけでなくセッション全体を通じてユーザーIDを検証する継続的認証の実装も必要である。
アクリードやスティールC V2といった新興亜種は、法執行機関による摘発やセキュリティ強化から得た知見を組み込み、情報窃取ツールの能力において飛躍的な進化を遂げている。これらの新プラットフォームはモジュール式アーキテクチャを採用し、攻撃者が標的に応じて特定のモジュールを選択することでカスタマイズされた攻撃を可能にする。 現代のEDRソリューションを回避するために特別に設計された高度な回避技術が、66%という検知失敗率の一因となっている。JSONベースのプロトコルと暗号化されたコマンドチャネルはネットワーク監視を阻み、自己削除やログ改ざんを含むフォレンジック対策機能は調査を複雑化させる。
月額200ドルのサブスクリプションによる高度な機能の民主化により、洗練された攻撃に技術的専門知識はもはや不要となった。 StealC V2のマルチモニタースクリーンショット機能は、保存された認証情報を超え、画面上の機密データや認証用QRコードまで捕捉する。機械学習の統合により自動的な標的優先順位付けが可能となり、高価値な認証情報を最優先に狙う。これらの亜種は分散型インフラ、ブロックチェーンベースのコマンドチャネル、法執行機関の行動への迅速な適応により、排除対策への耐性も向上している。イノベーションの速度は防御戦略の継続的進化を要求し、組織は急速に進化する脅威に対し静的な防御に依存できなくなった。
単一の対策だけでは不十分です。最も効果的な対策は、FIDO2パスキー(認証レイヤーでの認証情報の盗難を防止する)、シグネチャではなく行動パターンに基づいて認証情報の悪用を検知するITDRソリューション、そしてエンドポイントエージェントが到達できないデバイス上の感染後の活動を捕捉するネットワークレベルの可視性を組み合わせたものです。