ランサムウェア攻撃者による認証情報窃取の手口と対策 - インフォスティーラー感染を防ぐ重要ポイント

こんにちは。現役CSIRTのフォレンジックアナリストとして、数々のランサムウェア事案を調査してきた私が、最近増加している「認証情報窃取」による侵入手口について解説します。

2025年に入ってから、アサヒグループホールディングスやアスクルなど、大手企業でもランサムウェア被害が相次いでいます。これらの事案を調査していて分かるのは、攻撃者の手口がより巧妙化していることです。

ランサムウェア攻撃者の侵入手口が変化している理由

従来のランサムウェア攻撃では、システムの脆弱性を突いた侵入が主流でした。しかし最近では、正規ユーザーの認証情報を盗み取って「なりすまし」で侵入する手口が急増しています。

なぜこの手口が増えているのか？理由は簡単です。セキュリティ対策が進んだ結果、システムの脆弱性を突くより、人間の心理を突いた方が効率的だと攻撃者が気づいたからです。

私がフォレンジック調査で頻繁に遭遇するのが、「インフォスティーラー」と呼ばれるマルウェアです。これは文字通り、パソコン内の認証情報を「盗む」ことに特化したマルウェアです。

先月調査した中小企業の事例を紹介しましょう（詳細は匿名化しています）。

経理担当者が業務メールと思って添付ファイルを開いたところ、インフォスティーラーに感染。このマルウェアは以下の情報を窃取していました：

攻撃者は盗んだVPN情報を使って社内ネットワークに侵入し、3日後にランサムウェアを展開。全社のファイルが暗号化される被害となりました。

インフォスティーラーの主な侵入経路は以下の2つです：

最も多いのがメール添付ファイルによる感染です。請求書、履歴書、契約書などを装ったファイルが送られてきます。私の調査経験では、約70%の感染がメール経由です。

対策：

偽のソフトウェア配布サイトや、改ざんされたWebサイトからダウンロードしたファイルによる感染も増えています。

対策：

フォレンジック調査の現場で痛感するのは、個人用のセキュリティソフトでは限界があるということです。

実際に調査した事例では、従業員のパソコンがマルウェアに感染していたにも関わらず、個人用ウイルス対策ソフトでは検知できていませんでした。しかも、感染の事実を知っていたのは当該従業員のみ。IT部門への報告もありませんでした。

企業用製品であれば：

私がCSIRTとして企業に推奨する対策は以下の通りです：

万が一インフォスティーラーに感染してしまった場合でも、被害を最小限に抑える方法があります。

特に重要なのは、感染を発見した時点ですべての認証情報を無効化することです。攻撃者が既に情報を窃取している可能性があるためです。

ランサムウェア攻撃者による認証情報窃取は、もはや「他人事」ではありません。アサヒグループHDやアスクルのような大企業でも被害に遭う時代です。

今すぐ実行すべき対策：

私のフォレンジック調査経験から言えるのは、事前対策にかけるコストは、被害後の復旧コストと比べて遥かに安いということです。

特に中小企業の皆さん、「うちは狙われない」という考えは危険です。攻撃者は規模に関係なく、脆弱な組織を狙ってきます。今すぐ対策を始めることを強く推奨します。