インフォスティーラーの脅威とは？企業が取るべき7つの対策

個人・企業を問わず、オンライン上のあらゆる情報が狙われる現代において、「インフォスティーラー」と呼ばれる情報窃取型マルウェアの脅威が急速に高まっています。

特に大きな注目を集めたのは、2025年4月以降に発生した証券会社のアカウント乗っ取り被害です。多数の個人アカウントが不正に操作され、それらを利用してマーケットの価格を意図的に動かすといった市場操作の疑いがもたれるインシデントが確認されました。

調査の結果、被害者のアカウント情報がインフォスティーラーによって事前に盗まれていたケースも含まれており、この種のマルウェアに対する関心と警戒が一段と高まるきっかけとなりました。これ

そこで、この記事では、インフォスティーラーの仕組み、よく盗む情報の種類、企業がそれらの脅威に対して対策する方法をご紹介します。

インフォスティーラーとは？

インフォスティーラー（Infostealer）とは、感染した端末からログイン情報、クレジットカード情報、ブラウザの保存データ、暗号資産のウォレット情報などの機密データを密かに盗み出すマルウェアの一種です。

ランサムウェアのようにシステムを破壊するのではなく、気づかれないよう静かに情報を吸い上げることを目的としています。

最近では、Stealer-as-a-Serviceと呼ばれる形で提供されることも多く、攻撃者が自ら開発しなくても簡単に入手・利用できる点が脅威を一層深刻にしています。

インフォスティーラーの仕組みとは？

インフォスティーラーは、「侵入」から始まり、「情報の収集」「送信」「痕跡の消去」に至るまで、すべてが自動化されており、ユーザーが気づかないうちに被害が進行しているケースが大半です。ここでは、インフォスティーラーがどのような流れで活動するのか、その仕組みを段階ごとに解説します。

侵入

インフォスティーラーは、まず標的の端末に侵入することから始まります。

多くの場合、フィッシングメールに添付されたマルウェアを含むファイルや、巧妙に作られたフィッシングサイトのリンクを通じて感染が始まります。

近年では、正規のソフトウェアやブラウザ拡張機能を装ったマルウェアが配布されており、ユーザー自身がインストールしてしまうケースも少なくありません。

特に従業員のセキュリティ意識が低い企業では、こうした手法による侵入のリスクが高まります。

情報収集プロセス

端末への侵入に成功すると、インフォスティーラーは即座に情報収集を開始します。

対象となるのは、Webブラウザに保存されたログイン情報やクレジットカード情報、Cookie、暗号資産のウォレットアドレス、さらにはSSHキーなどといった機密性の高いデータです。

加えて、クリップボードの監視やスクリーンショットの取得、キーロガーによるキー入力の記録など、ユーザーの操作に関する情報も収集対象になります。これらの作業はすべてバックグラウンドで行われ、ユーザーが異常に気づくことはほとんどありません。特に、近年のインフォスティーラーは収集対象の範囲が広く、従来のセキュリティ対策では検知が困難なケースも増えています。

盗んだ情報の送信

収集したデータは、攻撃者が指定した外部サーバーへと送信されます。多くのインフォスティーラーは、C2サーバーと呼ばれる指令系統のサーバーに向けて、暗号化された情報を一括でアップロードします。中には、検知を避けるために、TelegramやDiscordといった一般的な通信アプリを悪用して、自動送信されてるケースもあります。

これにより、セキュリティソフトやネットワーク監視に引っかかりにくく、攻撃者は短時間で大量の個人情報や業務情報を取得されていることがあります。

自己消去やステルス

インフォスティーラーは、痕跡を残さないことにも長けています。情報送信が完了した後、自身のファイルやレジストリエントリを削除し、システム上から姿を消す機能を備えたものも多く存在します。また、最初から検知されにくくするため、実行ファイル名を正規のプログラムに偽装したり、仮想環境やサンドボックス上では動作しないように設計されている場合もあります。

セキュリティソフトを無効化する機能や、時間差で動作を開始するロジックを持つケースもあり、インシデント対応やフォレンジックを困難にします。

インフォスティーラーがよく盗む情報の種類とは？

インフォスティーラーは、金銭的価値が高い情報や他のサイバー攻撃に悪用できる情報を収集することを目的としています。そのため、攻撃対象となる情報は非常に多岐にわたり、個人のログイン情報から企業の機密データまで含まれます。

以下のような機密情報は、インフォスティーラーが特によく狙う代表的なターゲットです。

• パスワード情報
• クレジットカードや銀行口座に関する情報
• キー入力情報
• クリップボードデータ
• スクリーンショット
• システム内部のデータ
• SSHキー・FTPクレデンシャル
• 暗号資産ウォレット情報・秘密鍵

これらのような機密情報は、ダークウェブで売買される、あるいは別の標的型攻撃に再利用されるなど、重大な二次被害につながる可能性があります。

インフォスティーラーが注目されている理由

近年、インフォスティーラーは従来のマルウェアに比べて危険性が高く、かつ検知が難しいことから、セキュリティ業界や国際機関において大きな注目を集めています。

証券口座を狙った不正アクセスの急増（2025年）

2025年に入り、日本国内の大手証券会社を中心に、顧客の証券口座を狙った不正アクセスが相次ぎました。その多くのケースで、インフォスティーラーによって事前に盗まれたログイン情報やCookieが悪用されていたことが明らかになっています。

特に問題視されたのは、攻撃者が「正規のログイン」を装うために、盗んだCookieや端末情報を使ってセッションを再現し、二要素認証を回避していた点です。従来のフィッシングや総当たり攻撃とは異なり、ユーザー本人になりすましてアクセスしているため、不正アクセスとして検出することが難しく、被害発覚までに時間がかかるという特徴がありました。

この一連の攻撃は、一般ユーザーのみならず、金融機関側のセキュリティモデルにも見直しを迫る契機となり、マルウェアの中でも特に「インフォスティーラー型」への警戒が高まる要因となりました。

INTERPOL主導の大規模摘発「Operation Secure」（2025年）

2025年5月、INTERPOL（国際刑事警察機構）は「Operation Secure」と題された大規模サイバー犯罪摘発作戦を主導し、世界各地でインフォスティーラー関連の犯罪グループを一斉に摘発しました。この作戦では、ロシア語圏のフォーラムで広く流通していた「Raccoon Stealer」や「RedLine Stealer」などの悪名高いマルウェアを扱う販売者、開発者、拡散者が逮捕されたほか、関連するインフラも多数押収されています。

特に注目されたのは、Stealer-as-a-Service（SaaS）モデルによる拡散の実態です。これは、技術的知識を持たない人物でも、月額料金を支払うことで簡単にインフォスティーラーを利用・カスタマイズできるというもので、攻撃のハードルを大きく下げていました。「Operation Secure」によってこうした闇市場の一部が封じられたものの、根本的な脅威は依然として残っており、引き続き国際的な監視と対策が求められています。

インフォスティーラーが企業にもたらす脅威

インフォスティーラーは個人情報だけでなく、企業の機密情報や業務インフラに対しても深刻なリスクをもたらします。

ここでは、インフォスティーラーによって企業にもたらす具体的なサイバー脅威について解説します。

資認証情報の窃取とアカウント乗っ取り

インフォスティーラーによる最大の脅威の一つが、従業員のID・パスワードやセキュリティトークンなどの認証情報の窃取です。攻撃者はこれらの情報をもとに、企業のクラウドサービスや社内システムへ不正にアクセスし、正規のユーザーになりすまして活動を行います。中でも特に深刻なのが、特権アカウントの認証情報が盗まれた場合です。VPNやリモートデスクトップ、システム管理者権限を持つアカウントが乗っ取られると、社内システム全体を支配される恐れがあり、インフラ全体の安全性が脅かされます。たとえ二要素認証を導入していても、CookieやセッションIDが同時に盗まれていた場合には、その仕組みを回避されるケースもあるため、より踏み込んだ根本的な対策が必要です。

ログ売買とダークウェブでの二次被害

インフォスティーラーが収集した情報は、攻撃者が自ら使うだけではなく、ダークウェブ上で「ログ」として売買されることが一般的です。特定の企業名やサービス名で検索可能なマーケットプレイスでは、たった数ドルで一人の従業員のブラウザログやクレデンシャルが販売されており、それらを購入した第三者がさらなる攻撃を仕掛けてくるケースも後を絶ちません。このように一度情報が流出すると、企業は複数の攻撃者から継続的に標的にされることになり、影響は長期間にわたる可能性があります。

社内ネットワーク全体への波及リスク

インフォスティーラーによって盗まれた情報が起点となり、社内ネットワーク全体に侵害が広がることも大きな脅威です。例えば、一般社員のアカウントからログインされた後、水平展開（ラテラルムーブメント）によって管理者権限にまでアクセスが拡大することで、機密情報の漏洩やランサムウェアの侵入といった深刻な被害が発生します。また、インフォスティーラーは単体で行動するとは限らず、バックドアやリモートアクセスツール（RAT）を併用して持続的に企業ネットワーク内に潜伏することもあります。結果として、インシデント対応やフォレンジック調査にも多大なリソースが必要になり、業務継続性にも深刻な影響を及ぼします。

企業が取るべき7つの対策

インフォスティーラーによる情報窃取や不正アクセスのリスクは年々高まっており、従来のセキュリティ対策だけではもはや十分とは言えません。ここでは、企業が取り組むべき7つの実践的なセキュリティ対策をご紹介します。

対策1｜エンドポイントセキュリティの強化

インフォスティーラーは主にエンドユーザーの端末を起点に侵入します。そのため、PCやモバイル端末などのエンドポイントに対するセキュリティ強化は最優先事項です。次世代アンチウイルス（NGAV）やEDR（Endpoint Detection and Response）などを導入し、振る舞い検知によるリアルタイムな脅威のブロックを実現しましょう。加えて、USB制御やアプリケーションのホワイトリスト管理など、攻撃の足がかりとなる経路も制限する必要があります。

対策2｜ゼロ知識暗号化でのパスワード管理の徹底とゼロトラストの導入

従業員が複数の業務システムやSaaSツールで同じパスワードを使い回していたり、ブラウザに自動保存していたりすると、インフォスティーラーに盗まれるリスクが非常に高くなります。攻撃者はこれらのパスワードをもとに、クラウドサービスやVPN、さらには特権アカウントにまで不正ログインする可能性があります。

そのため、企業は信頼性の高いゼロ知識暗号化がされているようなパスワードマネージャーを導入し、すべてのID・パスワードを暗号化された状態で一元管理することが望ましいです。加えて、使い回しの防止ポリシーの設定、強固なパスワード自動生成機能、監査ログの取得機能などが備わったソリューションを選ぶことが重要です。

さらに、アクセス制御の基盤としてゼロトラストセキュリティモデルを導入し、「すべてのアクセスを疑い、常に検証する」前提での設計を行うことで、たとえ認証情報が盗まれても不正利用を最小限に抑えることが可能になります。

対策3｜MFA（多要素認証）の社内導入を徹底

多要素認証（MFA）は、パスワードが盗まれた場合の“最後の防衛線”です。近年では、SMSやメールによる二段階認証が攻撃者によってバイパスされる事例も報告されており、より強固な認証手段の導入が求められています。

有効な手段としては、時間ベースのワンタイムパスワード(TOTP)、認証アプリ、YubiKeyなどのハードウェアキー、指紋や顔による生体認証などが挙げられます。これらはいずれも、窃取や偽装が困難であり、高いセキュリティレベルを実現できます。

対策4｜従業員教育

サイバー攻撃の多くは、技術的な脆弱性ではなく人為的なミスを起点に成立していることが多いです。実際に、ベライゾンの 2025 年データ漏洩調査報告書（VDBIR）によると、情報漏洩の60%以上が人的要素と言われています。

そのため、どれだけ高度なセキュリティソリューションを導入していても、従業員が不審なリンクをクリックしたり、悪意あるファイルを開封してしまえば、インフォスティーラーが侵入するリスクは残ります。

こうした事態を防ぐには、継続的かつ実践的なセキュリティ教育の実施が欠かせません。フィッシングやマルウェア感染を想定した模擬演習を取り入れることで、従業員が実際の攻撃手法に対する理解を深め、具体的な対応力を身につけることができます。

対策5｜データの保存場所と暗号化ポリシーの見直し

インフォスティーラーは、端末のメモリやローカルに一時保存された暗号化されていないデータを標的とします。たとえば、ブラウザに記録されたクレジットカード情報、Cookie、パスワードといった情報は非常に狙われやすく、放置すれば重大な情報漏洩につながりかねません。

このリスクを低減するには、保存データの暗号化方針とその運用方法を見直すことが不可欠です。とくに、クライアントサイドでの暗号化や、ゼロ知識暗号化といった技術を活用し、たとえサーバー管理者であっても復号できない設計を採用することで、情報の機密性を担保できます。さらに、復号キーを端末に残さない設計や、一定条件でデータを自動消滅する仕組みを導入することも有効です。

対策6｜最小権限の原則

インフォスティーラーの感染が発覚しにくく、さらに被害が広がりやすい要因のひとつが、感染後に社内ネットワーク内を移動して他のシステムやアカウントへ不正アクセスを行う横展開、いわゆるラテラルムーブメントです。一度侵入された端末が足がかりとなり、組織全体が深刻な被害を受けるケースが後を絶ちません。

このようなリスクに備えるには、ネットワークの分離とアクセス権限の厳格な管理が不可欠です。たとえば、開発環境と本番環境、業務端末とサーバー群をそれぞれ分離し、VLANやネットワークセグメントを活用して論理的に構成を分けることで、不必要な横断的アクセスを制限できます。通信経路はファイアウォールやアクセス制御リスト（ACL）によって制御し、内部からの不正な移動を防ぎます。

さらに、ユーザーには業務に必要な最小限のアクセス権限だけを付与する原則を徹底することが重要です。とくに管理者アカウントや特権アクセスについては、常時アクセスを許可するのではなく、必要なときにのみ一時的に権限を付与する「ジャストインタイムアクセス（Just-In-Time Access）」の導入が効果的です。使用後は自動的に権限を剥奪することで、攻撃者が特権アカウントを長時間悪用するリスクを抑えることができます。

対策7｜万が一のためのログ監視とフォレンジック対応体制の構築

アクセスログやシステムイベントの記録を長期間保持し、リアルタイムで監視できる仕組みを導入することが求められます。

こうした要件を満たす手段として、セキュリティ情報およびイベント管理（SIEM）を活用することが有効です。異常な挙動の早期発見や、攻撃の兆候を検知するための基盤として機能します。

さらに、特権アカウントの利用状況を可視化・制御する特権アクセス管理（PAM）とSIEMを連携させることで、管理者権限を悪用した不正な操作や内部不正の兆候も的確に把握できます。PAMで記録された操作ログをSIEMに統合し、他のログと横断的に分析することで、より迅速で正確なインシデント対応が可能になります。

実際にインシデントが発生した際には、迅速な初動対応が不可欠です。そのためには、CSIRT（セキュリティインシデント対応チーム）の設置や、外部のフォレンジック専門機関との連携体制をあらかじめ確立しておくことが重要です。

このように侵害されることを前提にした備えを持つことは、セキュリティ成熟度の高い組織が必ず押さえるべき最後の防衛線であり、企業としての信頼を守るための不可欠な要素です。

まとめ｜インフォスティーラー対策は多層防御と実践力が鍵

インフォスティーラーは、静かに潜伏しながら機密情報を盗み出す巧妙なマルウェアです。その被害は個人の認証情報の窃取にとどまらず、企業の内部ネットワーク全体に波及し、深刻な

情報漏洩や業務停止を引き起こす可能性があります。

こうした脅威に対抗するには、単一のセキュリティ対策では不十分です。エンドポイントの防御、アクセス制御、データ暗号化、従業員教育、ログ監視といった複数の防御層を組み合わせた多層的なセキュリティ体制の構築が求められます。そして、これを支えるには、技術的対策と運用体制の両面での継続的な強化が不可欠です。

なかでも、インフォスティーラーのようなメモリを直接狙う高度な攻撃に対しては、通常のパスワード管理ツールでは防御が困難です。Keeperが提供するForcefield機能は、ブラウザ拡張機能の防御や、オンライン認証が完了するまでVaultを開かないゼロトラスト設計とともに、ユーザープロセスのメモリ保護を徹底することで、従来のツールでは防げなかった脅威にも強い耐性を示しています。

さらに、組織内の特権アカウントを狙った横展開を防ぐには、PAMの導入が不可欠です。

KeeperPAMは、アクセスの可視化と記録、特権セッションの統制、そしてジャストインタイムアクセスの仕組みにより、ゼロトラストに基づく強固なアクセス管理を支援します。

企業にとって大切なのは、「被害を受ける前提」で備えを固めることです。

まずは、KeeperPAMのデモをリクエストしてどのようにインフォスティーラーに立ち向かえるかご確認ください。

---

よくある質問