InfoStealerにクッキーを盗まれるとログイン不要の正規侵入が起こる――「セキュリティのアレ」の3人が明かす、認証認可を狙う新たな手口の現状とは:ITmedia Security Week 2025 春
2025年5月27日、ITmedia Security Week 2025 春で、インターネットイニシアティブ 根岸征史氏、SBテクノロジー 辻伸弘氏、脅威情報分析チーム LETTICEのpiyokango氏がパネルディスカッション「認証認可唯我独尊 第弐章」に登壇した。ポッドキャスト「セキュリティのアレ」でおなじみのメンバーは今回、2024年の「認証認可唯我独尊」の続編に当たる内容で議論を交わした。
いま攻撃者が喉から手が出るほど欲しがる「認証認可」情報について、われわれはまだ理解が足りない部分もあるのではないだろうか。講演の要約である本稿を、前回「認証認可唯我独尊」のレポート記事とともに読み進めていただき、認証認可、ID/アクセス管理を見直すきっかけとしてほしい。
辻氏は冒頭、最近の証券会社の乗っ取り事件に触れ、明確な原因は不明ながら多様な手口が考えられるとし、認証認可を狙う手口が古くから存在しつつも、近年変化していることを指摘する。
狙われる認証情報 新たな手口を知る
最初のトピックとしてpiyokango氏は、認証認可を狙う新たな手口をまとめた図を提示する。
この中からpiyokango氏は、2025年に入ってから報道が増えている「ClickFix」(クリックフィックス)を紹介する。
CAPTCHA認証などを称しながら不正なコードを実行する手順を提示し、InfoStealer(インフォスティーラー)といったマルウェアに感染させる手口だ。具体的には、Windowsの実行ダイアログをショートカットキーで表示させ、特定の操作によってクリップボード上に不正なコードを埋め込む。それをペーストして[Enter]キーを押させる流れだ。最近では「TikTok」などSNSの動画でも同様の手順を提示し、マルウェアを感染させる事態も発生しているという。
「本当にシンプルな手法で、閲覧する人に『あなたの問題を解決します』とだまし、こっそりと端末上のクリップボードに不正なコードをコピーする。これを閲覧した人自体に、言葉巧みに実行させる」(piyokango氏)
これはいわゆる「ソーシャルエンジニアリング」であり、被害者をだまして言葉巧みに操作させる。「被害者は『怪しい』と思わないので、止めることが難しい」と根岸氏も指摘する。
従来はメールに添付された「Microsoft Excel」や「Microsoft Word」などのファイルに含まれるマクロによって行っていた感染手法が“進化”したとも言える。「単純に『だまして実行させればいい』というシンプルなところに戻ったのかもしれない」と根岸氏。人の脆弱(ぜいじゃく)性を突いているので、決定的な対策ができず、要注意だ。
piyokango氏は、「実行される環境が組織でしっかりと管理されているなら、不正なコードが実行されたときに、エンドポイント保護の仕組みで止められる可能性がある」と述べる。ただし、これも例えばWord文書からPowerShellが実行されたら「異常」と検知できたとしても「人が実行したり、親プロセスがPowerShellだったりすると、『運用管理上のスクリプトを使っている』として見逃してしまうかもしれない」と辻氏は指摘する。その区別がつかないことこそ、攻撃者から見たClickFixのメリットと言えるだろう。
piyokango氏は、図で挙げた手口について、「最近は利用者のリテラシーが高まっていることは間違いなく、それを受けて攻撃の手口が変化しているとみることができる。この変化にしっかりと追随していかねばならない」と警鐘を鳴らした。
認証認可の窃取パターンまとめ、「InfoStealer」とは何か
辻氏はこれら新しい攻撃パターンを踏まえ、前回講演「認証認可唯我独尊」でも取り上げた表を基に、「認証認可窃取」という脅威について語る。脆弱性、フィッシングサイト、マルウェアなどの窃取パターンを紹介するとともに、認証認可に関する情報をどこまで奪えるかをまとめた表だ。3人の視点で、マルとバツが付けられている。
これに加え、その対策も表としてまとめる。この表の大きなポイントは、多要素認証を導入してもバツが含まれる点、InfoStealerはこれらの対策でも全てがバツとなっており「これが相当な脅威だ」と辻氏は強調する。
そこで辻氏は、このInfoStealerに焦点を当てて解説する。辻氏はInfoStealerを「名前の通り“Info”を“Steal”するもの」としつつ、「マルウェアの一種で、感染した後に端末での動作や、そこに保存されている認証情報を盗んでいくもの」と続ける。
従来で言えば「トロイの木馬」とされるマルウェアに近い。盗む“Info”は、ID/パスワード、クッキー情報、キー入力、クレジットカード情報や仮想通貨情報、スクリーンショット、メールなどと幅広く、「えげつない感じにごっそり持っていく」と辻氏。パスワード使い回しの防止策として、ブラウザにパスワードを保存させることを推奨する専門家も多く、そこを狙うマルウェアの存在は脅威だ。
「InfoStealerというと『ブラウザに保存されているIDやパスワードを盗むもの』と言われることが多いが、それだけではないことは覚えてほしい」(根岸氏)
この中でも、特に問題となるのは「クッキー情報」だ。認証認可の窃取に対する保護が、全てバツになってしまっている原因でもある。辻氏はこの点に関して、「二要素認証で出ている数字を破るわけではない。身分証明書を提示する段階ではなく、あなたはここを通っていいですよという通行許可証をコピーされることだと思ってほしい」と解説する。
InfoStealerが対象とする情報が盗まれることも問題だが、「その後に何に使われるのかにより、インパクトが変わってくることが難しい」と根岸氏。犯罪者の専業化、分業化が進んだことにより、「盗んだ情報のニーズが高まっていることが、InfoStealer被害が広がる理由なのではないか」と辻氏も指摘する。
InfoStealerとはマルウェアの類型に付けられた呼称であり、著名な例として辻氏は「lumma」「RisePro」「Vidar」などを挙げる。直近では「lumma」がMicrosoftやユーロポール(欧州刑事警察機構)などによってテイクダウンされたという報道があったが、「主犯が捕まっているわけではないので、今後活動を再開する可能性もある」と辻氏は指摘する。
攻撃者のエコシステムとして、ランサム攻撃をサービスとして提供する「RaaS」(Ransomware as a Service)があるが、マルウェアにおいても「MaaS」(Malware as a Service)という仕組みがあり、「だいたい7日間で130ドルくらい」(辻氏)で、“サブスク”で自分の好きな機能を入れ込んだInfoStealerを作ることができる。「攻撃者から見て使いやすい環境が整っているので、1つや2つをつぶしたくらいでは対策が追い付かない」と根岸氏は指摘する。辻氏は本物の“ブラックマーケット”の画面を見せつつ、そこに日本の企業から盗み出した情報もリストされていることを解説する。
「フィルタリング機能もあって、そこにはクッキー情報も含まれているかどうかが簡単に分かる。その場合、仮にID、パスワードを変更していたとしても、認可済みのクッキーが取られてしまっていれば、そのまま攻撃者がログインできる可能性がある」(根岸氏)
InfoStealerはどこから来るのか?
続いて辻氏は、InfoStealerの感染経路について解説する。攻撃の発端として、メールの添付ファイルから感染するパターンに加え、偽のダウンロードサイトや広告、そしてClickFixなどを使って感染するパターンを挙げる。さまざまな手口が想定され、これらを全て止めなければならないが、「メールとWebから来ると考えれば、これまでのマルウェアの脅威とそこまで大きく変わらない」(辻氏)
加えて辻氏は、「クッキーを盗まれること」に関して、「まだ理解が追い付いていない方が多いのではないか」と疑問を投げ掛ける。クッキーを盗まれると二要素認証を突破されてしまう点に関して「攻撃者がID/パスワードを持っていて、二要素のキーを知る術も取られてしまっていると誤解されるかもしれないが、クッキーさえ盗めれば、それをブラウザに設定することで裏口からアクセスできる。『そもそもログイン自体しない』と話すと、多くの人が驚きの反応を見せる」と辻氏は話す。クッキーを奪われることのインパクトがなかなか伝わりづらく、「認証の手順をすっ飛ばしてアクセスできる点は確かにもう少し知られてもいいかもしれない」と根岸氏も同調する。
マルウェアの一種であるInfoStealerが、なぜこれまでのマルウェア対策では防げなかったのだろうか。根岸氏は仮説も含め、攻撃側、防御側の状況を整理する。
「攻撃側の要因」として、根岸氏はまず攻撃側が努力し、攻撃手法を多様化して検知を回避していること、攻撃者のエコシステムの充実を要因として挙げる。もはや、攻撃者は「お金さえ用意すれば攻撃が可能」(辻氏)な上に、「なおかつリターンが結構大きい」(根岸氏)。この“線”をどこかで断ち切らなければならない。
防御側にも要因がある。EPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)といった製品による侵入防止や検知の限界に加え、運用上の要因も考えられる。例えばEDRを導入していたとしても、エージェントソフトウェアがインストールされていない端末があったり、そもそも監視対象外の端末から侵入されたりなどで、すり抜けてしまっている可能性もある。技術的には検知ができてアラートが上がっていても、監視する側が見逃してしまうという運用面の課題もある。冒頭のClickFix対策の難しさもこれら要因に含まれるだろう。
根岸氏は、管理面の問題に言及する。自組織は守れていると思っても、実は運用保守の会社や業務委託している会社が自組織内のネットワークに入ってくる可能性がある。認証情報が外部委託先から漏れている場合もあるのだ。契約で縛るだけでは防止が難しく「『対策をやっています』と言われていても、本当にそうなのかまでは確認しづらい」(辻氏)という問題が、防御側の要因として大きなものになる。
BYOD(Bring Your Own Device)やポリシー違反も見逃せなくなっている。端末そのもののBYODを許可していなかったとしても、個人端末でブラウザに組織の認証情報を同期させたときに、個人端末がInfoStealerに感染してしまうと、組織の認証情報が奪われてしまう。「海外でも事例が報告されていて、個人端末がマルウェアに感染し、そこから組織のリモートアクセスなどの認証情報が漏れていた」(根岸氏)という。ブラウザ同期問題は組織としても検知が難しく、ランサムウェアの感染時のように派手に画面に出てくることもない。感染が疑われている前提で、全てを検知するには限界があるとしつつ、「だからといって諦めることはよくないとは思う。目の前にある脅威に対し、ちょっと目を向き直してほしい」と辻氏は述べる。
辻氏は最後に、今の状況を「まずは知ってもらいたい。ほんま知ってもらいたい感がすごいんですよ」と本音を漏らす。3人によるパネルディスカッションは、ITmedia Security Weekではもはや定番であり、四半期ごとに開催されるが、その間隔でも新しいこと、伝えるべきことが次々とやって来る。
とはいえ、過去のレポート記事を読んでいただいても分かるように、3人は一貫して「基礎」の重要性を説いている。最新の脅威を知り、さらに基礎を守る。防御側はその基礎が守れているかどうか、3人からのメッセージを聞いて、いま一度見直す必要があるのではないだろうか。
「自分たちの資産とか対策を見直し、基礎を徹底していくっていう原点に立ち返ってほしい」(辻氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
流行中の「アタックサーフェスマネジメント」は使いものになるか? 根岸氏、辻氏、piyokango氏鼎談に見る3つの論点
2025年3月4日、ITmedia Security Week 2025 冬で、ポッドキャスト「セキュリティのアレ」でおなじみの根岸征史氏、辻伸弘氏、piyokango氏が登壇。「対象領域は明らかにしないといけないから」と題して、議論を交わした。
日常茶飯事の「サプライチェーン攻撃」のカオスな実態とは?「セキュリティのアレ」の3人が事例から解き明かす
2024年11月27日、「ITmedia Security Week 2024 秋」の「クラウドセキュリティ」ゾーンで、ポッドキャスト「セキュリティのアレ」に出演する根岸征史氏、辻伸弘氏、piyokango氏が「繋ぐ楔と断ち切る楔」と題してパネルディスカッションに登壇した。
サイバー脅威の見積もり、できてるつもり? 辻氏、piyokango氏、根岸氏が3つのトピックで問い掛ける
2024年5月29日、アイティメディア主催セミナー「ITmedia Security Week 2024 春」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「脅威の見積もり できてるつもり?」と題して講演した。「攻撃手順、手法の変化」「脆弱性の悪用傾向」「ありふれた不正アクセス事例で共通していた、ある“暗黙の了解”」という3つのトピックを取り上げ、サイバー脅威に対して正しい見積もりができている“つもり”状態を解消するためのヒントを探るパネルディスカッションとなった。