KELAは、2025年4月29日にイスラエル・テルアビブ発の新たなレポート『Inside the Infostealer Epidemic: Exposing the Risks to Corporate Security』を発表しました。
KELA『Inside the Infostealer Epidemic: Exposing the Risks to Corporate Security』
KELAは、2025年4月29日にイスラエル・テルアビブ発の新たなレポート『Inside the Infostealer Epidemic: Exposing the Risks to Corporate Security』を発表。
このレポートでは、インフォスティーラーマルウェアが認証情報の窃取を加速させ、ランサムウェア攻撃を可能にする上で果たしている極めて重要な役割に焦点を当てています。
また、進化するサイバー犯罪エコシステムの実態を明らかにし、盗まれた企業認証情報がサイバー犯罪活動の基盤となっている現状について詳しく解説しています。
近年、インフォスティーラーの活動は266%も急増しており、この脅威は2025年もさらに拡大し続けています。
インフォスティーラーは、認証情報、個人データ、その他の機密情報を窃取するマルウェアであり、個人情報の盗難、不正行為、そして多大な損害をもたらすデータ侵害の主因となっています。
Black Bastaリークのような著名な事例では、多くのランサムウェア攻撃がインフォスティーラーログを起点にしていることが明らかにされ、インフォスティーラーがランサムウェア攻撃を支える極めて重要なツールであることが改めて浮き彫りになりました。
インフォスティーラーマルウェアとランサムウェア攻撃の間にある密接な関係は、もはや無視できません。
「私たちの調査により、サイバー犯罪者たちが盗まれた認証情報を効率的にマネタイズし、活発な地下市場を築いている実態が明らかになりました」と、KELAの脅威インテリジェンスアナリストであるLin Levi氏は述べています。
「組織は、侵害やランサムウェア攻撃へと発展する前に、認証情報のセキュリティ強化などの積極的な対策を優先的に講じる必要があります。」
【レポートで明らかになった主な調査結果】
■サイバー犯罪の触媒となるインフォスティーラーマルウェア
インフォスティーラーは、認証情報窃取を自動化するマルウェアとして急速に人気を高めています。
これらはマルウェア・アズ・ア・サービス(MaaS)モデルを通じて販売されることが多く、窃取された認証情報がランサムウェアを含むさまざまなサイバー攻撃の侵入口として利用されています。
■進化する認証情報売買市場
サイバー犯罪者たちは、従来のフォーラム型取引から自動化されたマーケットやサブスクリプションモデルに移行しています。
これにより、認証情報の取引スピードと効率が大幅に向上しています。
攻撃者は簡単に窃取データを検索し、認証情報を購入し、それを悪用することができるようになっています。
■被害者プロファイリングが示すターゲット業種と職種
KELAは、2024年7月から8月にかけて確認された300件のインフォスティーラー被害者について調査し、 異なる企業に勤務する個人が影響を受けていたことを明らかにしました。
特に被害が多かった職種は以下のとおりです:
●プロジェクトマネジメント職:28%
●コンサルティング職:12%
●ソフトウェア開発職:10.7%
また、テクノロジー業界が最も標的となっており、地域別ではブラジルが最も被害が大きかったことが判明しました。
さらに、企業認証情報を保存していた個人用PCのほうが業務用端末よりも感染リスクが高く、窃取された認証情報の大半が現職社員のものであったことも分かりました。
■ランサムウェアグループによる認証情報の悪用
KELAの調査では、インフォスティーラーに感染したアカウントと、Play、Akira、Rhysidaといったランサムウェアグループとの関連性が検討されました。
複数のケースで、これらのランサムウェア被害者の認証情報が、攻撃が報告される5日~95日前にサイバー犯罪マーケットで販売されていたことが確認されています。
これにより、盗まれた認証情報とランサムウェア感染との間に潜在的な関連性が示唆されており、平均的なタイムラグは約2.5週間であることが明らかになりました。
インフォスティーラーの脅威を軽減するために、KELAは組織に対して以下のような積極的な防御戦略を採用することを推奨しています。
●脅威のアクティブモニタリング
●アクセス管理の強化
●堅牢なエンドポイント保護の導入
●従業員へのサイバーセキュリティ意識向上トレーニング
