｢ランサム侵入原因｣34％が"認証情報の悪用"､流行中｢インフォスティーラー｣を感染させる新たな手口｢FileFix｣とは？今すぐできる4つの対策

従来では、ランサムウェアの侵入原因として「脆弱性」と「設定不備」が注目され、VPNやリモートデスクトップ用の機器におけるシステム面でのセキュリティ対策が重要視されてきました。

しかし、前述の調査結果にも表れているように、最近では管理者や従業員が使用する「認証情報」が窃取され、それが悪用されて「正規の手続きで侵入される」ことも少なくありません。証券口座の乗っ取りも、認証情報の悪用が指摘されています。「認証情報」のセキュリティ対策は、急務といえるでしょう。

認証情報はどうやって窃取されてしまうのか

インシデント発生後に、悪用された認証情報がどうやって窃取されたのかを突き止めることは困難です。しかし、窃取される要因としては、フィッシングやインフォスティーラー（InfoStealer＝情報窃取マルウェア）が考えられます。とくに注意すべきは、インフォスティーラーです。

認証情報を大きく2つに分けて考えると、①認証するための情報（ログインID・パスワード）と②認証済みの情報（Cookie）が挙げられます。フィッシングではAitM（中間者攻撃）という少し高度な手法を使って②を盗む場合がありますが、主に①を盗みます。それに対し、インフォスティーラーは①も②も盗みます。

②のCookieとは、認証した後しばらくの間は何度も同じ認証手続きをしなくていいように発行される、期間限定フリーパスのようなもの。つまり、Cookieを盗むことができれば、別の第三者の端末で「ログイン済みの状態」を再現できてしまいます。ログイン済みの状態なので、ログイン時の多要素認証は無意味です。

さらにインフォスティーラーは、Webブラウザに保存（キャッシュ）されている認証情報だけでなく、ログインURLや閲覧履歴といった情報のほかに、メールクライアントや暗号資産アプリのデータなど、「端末内のさまざまな情報」をごっそりと盗みます。感染している間は、継続的に盗み続けることも可能です。個人端末が感染した結果、保存されていた業務用の認証情報が盗まれることもあります。

また、犯罪者が利用するフォーラムでは、インフォスティーラーによって盗まれた情報が盛んに共有・販売されています。

犯罪者が利用するフォーラムの例。「Stealer」と書いてある行がインフォスティーラーにより盗まれた情報と考えられる（写真：デジタルアーツ）