vol.155 -「進化するマルウェア - 巧妙化する手口」

はじめに

最近のニュースで話題になっていましたが、楽天やSBI等のネット証券会社で口座の乗っ取りが急増する被害が発生しています。

(参考URL)

証券口座乗っ取り、不正取引額3000億円超に被害拡大－金融庁

https://www.bloomberg.co.jp/news/articles/2025-05-08/SVXSNJDWX2PS00

近年、企業や個人を問わず、サイバー攻撃による情報漏洩や被害が多発していますが、今回の乗っ取り被害で聞かれたのが、「二要素認証やデバイス認証を設定していたのに乗っ取られた」というものです。

であれば、「二要素認証やデバイス認証を設定してもダメなのか？」と思われるかもしれませんが、必ずしもそうではありません。

今回の口座乗っ取り被害で使用されていたとされるのは「インフォスティーラー」と「AiTM（Adversary-in-the-Middle）」と呼ばれる手法の可能性が高いといわれています。その手口が巧妙でこちらが打っている対策の隙を抜けてこようとしてくるのです。

そこで今回は、インフォスティーラーとAiTMの内容と脅威、そして対策を記してみたく思います。

1. 「インフォスティーラー」とは?

インフォスティーラー(Info stealer)とは、「Information Stealer」の略称で、「情報窃取マルウェア」とも呼ばれるマルウェアの一種です。

マルウェアと聞くと、ウイルスやランサムウェアなどを思い浮かべる方が多いと思いますが、インフォスティーラーは感染したPCやデバイスから様々な個人情報や機密情報を盗み出す事に特化しています。

ユーザーIDやパスワードといったものは勿論、キーボード入力やスクリーンショット、Cookie等のブラウザに保存されてる情報など、非常に広範囲な情報を盗み出そうとします。

盗み出される情報には以下の様なものがあります。

• Webブラウザに保存されたID・パスワード

• クレジットカード情報

• 暗号資産のウォレット情報

• SNSやクラウドサービスのセッション情報

• スクリーンショットやキーボードの入力内容

インフォスティーラーの厄介な点は、感染したことに気付きにくい点です。

例えば良くあるウイルスやランサムウェアなどでは、PC等にウイルスを感染して正常動作できなくなったり、データを暗号化して身代金を請求するといったように、直接的な被害の形で見えますが、インフォスティーラーは被害者が感染に気づきにくいように、ひっそりと活動します。

また、目的を達成したら、自滅プログラムを起動して痕跡を残さない、といった悪質なものも存在しており、気づかないうちに大量の情報が盗まれる可能性があります。

2. 「AiTM」とは?

AiTM(Adversary-in-the-Middle)は、「中間者攻撃」(MITM：Man-in-the-Middle）と呼ばれるセキュリティ攻撃の一種で、攻撃者がユーザーとサーバー間の通信に割り込み、その通信を傍受したり、改ざんしたりする手法です。

二要素認証(2FA)など、多要素認証(MFA)を回避する手段として用いられます。

具体的にはどういったものなのか、実は筆者にもAiTM攻撃が来ていたので、実例を元に説明させて頂きます。

以下の画像ですが、筆者の元に「SBI証券からの案内」という名目で来た連絡内容です。

一見すると、SBI証券からの本物の案内かと思ってしまう内容です。

で、中段よりやや下に「ご本人様確認ページを開く」という所に注目して下さい。

ここをクリックすると、ご本人様確認ページのサイトに遷移しますが、遷移先のサイトが偽物です。

遷移先のサイト上で、ユーザーIDやパスワード、多要素認証に必要な情報を入力させる事で、その情報を盗みます。

情報が盗まれるのも大問題ですが、この操作をしている間、攻撃者はリアルタイムに正規サイトに情報を中継して、正規のサイトにログインします。その結果、乗っ取りが発生してしまうのです。

冒頭で「二要素認証やデバイス認証を設定していたのに乗っ取られた」と記載させて頂いたのはこういいった理由からです。

ユーザー自身にとっては、正規にログインしたと思っていた一方で、攻撃者はその裏で多要素認証を回避して不正にアクセスできてしまうのです。

3. どうやって防げば良いか?

インフォスティーラーやAiTMは、技術的な対策も大事ですが、それだけでは完全に防げないタイプのサイバー攻撃です。重要なのは、技術的な対策と、ご自身の意識の両面からのアプローチで対応することです。

以下に代表的な対策を挙げてみます。

1. セキュリティ意識の向上

   基本でもあり、最も重要な対策といえます。

   あえて厳しい言葉で表現させて頂きますが、どんなに技術的な対策を講じたとしても、自身のリテラシーが低いままでは、対策も空回りです。

   
   

   • 知らない送信者のメッセージはまず疑う

   • 添付ファイル付きのメールには注意・警戒する。

   • 軽々にリンク先のサイトに遷移しない

   • 短縮URLは事前に展開して内容確認

   
   

   など、常にセキュリティを意識して気を付けるようにして頂きたく思います。

   
   

2. 多要素認証の導入、強化

   AiTMの所で、多要素認証が回避されるという内容を書かせて頂きましたが、多要素認証そのものは本人確認のための施策としてリスクを低減できます。あとは使い方です。

   
   

   • SMS、メールを使った多要素認証は避ける

   • 認証キーを入力する前に、正規のサイトか事前に確認

   • FIDO2やPasskey、アプリベースの認証(Microsoft Authenticatorなど)を検討する

   
   
   
   

3. 強固なパスワードの設定と管理

   これも基本と言えます。「123456」だけの様な脆弱なものであれば、リスクは高まります。

   
   

   • 複雑なパスワードの設定(大文字・小文字、数字、記号を組み合わせる)

   • 異なるサービスで同じパスワードを使い回さない

   • パスワードマネージャーを導入

   • 定期的にパスワードを変更する

     
     
   
   

4. ログイン(セッション)の管理

   例えば、ECサイトにログインしたままで放置、という状態は危険で、ログイン(セッション)情報を盗まれるリスクがあります。他に、自身が知らない間にサイトにログインされている場合は、攻撃者になりすましされている場合があるので、即対処が必要です。

   
   

   • ブラウザやPCなど、使い終わったら、必ずログアウト

   • ブラウザの履歴やCookieも、適時必要に応じて削除する

   • 見覚えのないログインがないか、定期的に確認。

   • 見覚えのないログインがされていた場合は、アカウントの一時停止等必要な対処を取る

     
     
   
   

5. セキュリティソフトの導入

   ウイルスやマルウェア等の検知や駆除に一役買ってくれます。

   
   

   • 導入後も、セキュリティソフトの状態を常に最新にする

   • 定義ファイルも常に最新の状態にする

     
     
     
     

まとめ

インフォスティーラーとAiTMは、最近のサイバー攻撃の中でも特に警戒すべき手法と言えます。我々の個人情報など重要な情報を狙い、その手口は日々巧妙化しています。

警戒すべき脅威ではありますが、対策が無いわけではありません。セキュリティ意識の向上や多要素認証の導入など、一つだけでなく多層的なアプローチを取ることで、脅威から自身を守ることができます。

日々の中でセキュリティを意識し対策していくことが、安全に繋がります。