この記事の要約

• インフォスティーラーが盗む情報を実例で解説
• Cookieを悪用し多要素認証を無視して証券会社のアカウントページにアクセスする例
• 2025年のメールとWebのマルウェアトップ10とインフォスティーラー

インフォスティーラーとは

情報窃取マルウェア「インフォスティーラー」をご存知でしょうか。警視庁からもSNSで下記のように投稿しており、注意喚起を促しています。

情報が盗まれるといっても実際問題として、何が盗まれるのか、どう悪用されるのかイメージがつきにくいかもしれません。本稿では、もう少し具体的にインフォスティーラーを使って説明したいと思います。

インフォスティーラーはどんな情報を盗んでいく？

テストのため、閉鎖された環境内に、被害者のパソコンと、攻撃者のパソコンを準備します。

被害者側

まず、インフォスティーラーにより被害を受けるパソコンを想定して、様々な情報を設置します。Webブラウザー内にIDやパスワードやクレジットカード情報を記憶し、デスクトップやドキュメントフォルダにtxtファイルを置くなどしています。

準備を済ませ、とあるインフォスティーラーをこの被害者パソコンにダウンロードし、実行し（感染させ）ました。

環境にもよりますが、実行から盗んだ情報を送信するまで1分とかかっていませんでした。ただし、目に見える動きをすることはほとんどありません。一般的に、インフォスティーラーはバックグラウンドで実行され、アンチウイルス等も回避することが多く、通常のパソコン利用者が気付くことは困難でしょう。

では、どのような情報が攻撃者に盗まれてしまったでしょうか。

攻撃者側

今回使用したインフォスティーラーは、被害者のパソコン内で収集した情報を、カテゴリ別にtxtファイルにし、それらをひとつのzipファイルに圧縮してから攻撃者のパソコンに送信しました。

具体的には、攻撃者のパソコンに下図のようなファイルが届きました（画像ではフォルダとファイルをツリー状に表示して、説明を補足しています）。

下図は、【図2】のうちのいくつかのtxtファイルの中身です。

ピックアップした以外にも多くの種類の情報が盗まれます。スクリーンショット、インストール済みソフトウェア一覧、特定のアプリケーション内の情報（メッセージアプリ、VPNクライアント、PCゲームなど）、暗号資産（仮想通貨）関連など。また、インフォスティーラー自体の種類によっても盗むことができる情報は異なります。

なお、今回使用したインフォスティーラーは、ダークウェブではなく有名なオンラインサービス上で公開されており、表向きは研究や教育目的と称していますが、悪意のある者が不正に使用することもできてしまいます。使用した以外にも、悪用が可能と思われるインフォスティーラーが公開されていました。本レポートの真似をしたり悪用したりしないようにしてください。

さらにダークウェブでは、様々な攻撃者や攻撃グループがビジネスとしてインフォスティーラーを販売しており（※1）、サンドボックス回避や解析妨害、購入者への手厚いサポートなど、より洗練された機能を持つインフォスティーラーを、専門技術を必要とせず誰でも使用することが可能です。

（※1）攻撃をしたい犯罪者に対して、マルウェアをサービスとして提供して報酬を得る、MaaS（Malware as a Services、マルウェアアズアサービス）という犯罪ビジネスモデルが横行しています。

盗まれた情報の悪用（Cookieの悪用例）

盗まれたIDとパスワードが悪用され不正ログインされるというのは、フィッシング詐欺などでもよく説明されているため、イメージしやすいでしょう。

他には「Cookie」の悪用などがあります。Cookieとは、Webサイトの状態や設定を記憶するために使われる、Webブラウザーに保存される小さなテキストデータです。Cookieがあると、ログインした後しばらくの間は何度も同じログイン手続きをする必要がなくなり、便利な期間限定フリーパスのように使われます。

では、Cookieがどのように悪用できてしまうのか試してみましょう。

Cookieを盗まれると、多要素認証（2段階認証）も効果がない？

例として、証券会社のオンラインアカウントを使用します。このアカウントには、ログイン時に多要素認証を設定しており（パスキー、スマートフォンによる顔認証）、フィッシング耐性には強い状態となっています。通常は下図のようなログイン手順です。

では、この「パスキーによる認証が済んだあとのログインしている状態のCookie」が盗まれたと想定します。

盗んだCookieで不正アクセス

Cookieを使って、証券会社のアカウントページにアクセス可能かどうかを試してみます。別のパソコンを使い、使用するWebブラウザーには何も履歴やキャッシュがない状態で行います。手順は下記の通りです。

• CookieをWebブラウザーにセット
• 証券会社のURLにアクセス

結果として、証券会社のアカウントページにCookieだけを使ってアクセスすることができました。IDやパスワードは不要で、パスキーによる認証も要求されませんでした。

Cookieを盗むことができれば、第三者の端末で「ログイン済みの状態」を再現することが可能です（※2）。

（※2）もちろん、誰かの手にCookieが渡った時にはすでにその有効期限が切れていたり、実際に取引をするには別途で取引用のコードが必要であったりするため、Cookieだけで取引をすることは困難でしょう。それ以外にも、2025年前半に不正取引が話題になって以後、証券会社側で様々な対策が導入されているため、不正取引は簡単ではありません。金融庁のデータでは、不正取引被害はピーク時に比較すると大幅に少なくなっています。

• インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています：金融庁

2025年のメールとWebのマルウェアトップ10とインフォスティーラー

インフォスティーラーがパソコンに侵入するまでの方法は様々です。

• メールの添付ファイルやリンク
• 改ざんされたWebサイト
• 正規ソフトウェアを装ったWebサイト
• 侵害された広告

などから入り込みます。主にメールとWebからです。

【図7】は、2025年の1年間にデジタルアーツのm-FILTERユーザーが受信した、悪性ファイルが添付されたメールの数（メール隔離/削除数含む）から、上位10位のマルウェアを集計したものです。太赤字はインフォスティーラーに該当するマルウェアです。悪性ファイルが添付されたメールのうち、約80%がインフォスティーラーとなりました。

【図8】は、2025年の1年間にデジタルアーツが様々なデータソースから収集した悪性URLの数（フィッシングは含まない）から、上位10位のマルウェアを集計したものです。太赤字はインフォスティーラーに該当するマルウェアです。太字は、インフォスティーラーをダウンロード・感染させるための前段階としてよく使われています。

このように、少なくない数のインフォスティーラーが、メールとWebから侵入しようとしていることがわかります。

ランサムウェアと認証情報の悪用

近年、ランサムウェア攻撃の侵入原因として、認証情報の悪用が多いように見受けられます。

2025年10月に発生し話題となった、オフィス用品通販を手掛ける企業へのランサムウェア攻撃においては、認証情報が悪用されました。調査結果では、業務委託先に付与していた管理者IDとパスワードを不正利用して、ネットワークに侵入したと推定しています（ただし、なぜ認証情報が流出したのかまでは判明していません）。

デジタルアーツの調査では、侵入原因に言及があった38件のランサムウェアインシデントのうち、34%が「認証情報」によるものでした。

インフォスティーラーによって流出した認証情報が、ランサムウェア攻撃で悪用されてしまった可能性も考えられます。

おわりに

インフォスティーラーによる被害を軽減するために、普段からひと手間かけることでできる対策もあります。

• 万一インフォスティーラーに感染した場合でも被害を最小限に抑えられるよう、Webブラウザーに認証情報を保存せず、サービス利用後はログアウトし、キャッシュや履歴を削除する。
• 個人所有の端末は、マルウェアやフィッシングへの対策が十分でない場合が多く、情報漏えいのリスクが高まります。可能な限り業務利用を控えてください。
• 業務端末で個人アカウントを使用することにも注意が必要です。業務用の認証情報が意図せず個人アカウント側に保存されることで、個人端末や個人アカウントが侵害された際に、業務情報まで被害が及ぶ恐れがあります。
• また、管理者側でログインセッションの有効期限を設定できるサービスについては、期限を短く設定することで、仮にCookieが不正に取得された場合でも、被害の拡大を防ぐことが期待できます。

ただし、組織の従業員ひとりひとりが気を付けるというのは現実的ではありません。

インフォスティーラーの多くがメールとWebから感染を拡げています。組織においては従業員教育だけでなく、まずはメールとWebにおけるセキュリティをしっかりとシステム側で対策することが重要でしょう。加えて、多要素認証の導入や最小限の権限設定を行うなど、認証認可の適切な設定も重要です。