KELAによれば、2025年1月1日から12月31日の間に、世界全体で約390万台の端末がインフォスティーラーに感染していることが確認され、合計3億4750万件の認証情報が窃取された。ただし、犯罪マーケットプレイスで流通するインフォスティーラーのログデータベースなど、あらゆる情報源を合わせると、KELAが追跡した漏洩認証情報の総数は28億6000万件に達する。
KELA報告書によると、2025年にインフォスティーラーが用いた主な手口は以下のとおりだ。
・メール、メッセージアプリ、AIで生成された個別化詐欺。PhaaS(Phishing-as-a-Service、サービスとしてのフィッシング提供)を利用してMFA(多要素認証)を突破するケースが多い
・いわゆる「自分で自分のパスワードをハックさせる」攻撃。ユーザーを騙して手動でスクリプトを実行させることで、従来のセキュリティツールによる検知を回避する手法である
・マルバタイジング(悪意ある広告)や検索結果の汚染。トロイの木馬化されたソフトウェアを配布し、感染率を高める
・汚染されたソフトウェアパッケージや開発者ツールへのなりすまし。サプライチェーン攻撃として高い権限を持つ認証情報を標的にする
・侵害されたブラウザ拡張機能のアップデートを通じたフォームグラビング(入力情報の傍受)やクッキーの窃取
・海賊版アプリや偽のソフトウェアアップデートも依然として有効な手口であった
被害者リストに名を連ねないために、以下の対策が推奨される。
・すべてのソフトウェアとOSを公式チャネルのみを通じて最新の状態に保つこと
・不審なメールやメッセージ内のリンクは、どれほど本物らしく見えても決してクリックしないこと
・パスワードマネージャーを使用して複数のアカウント間でパスワードを使い回さないようにし、1件の侵害が及ぼす影響を最小限に抑えること
・利用可能なすべてのアカウントで2FAを有効にし、パスワード窃取に対する追加の防御層を確保すること。ただし、セッションクッキーを窃取して2FA保護を迂回するインフォスティーラーは、いまや一般化しつつある
最終的な助言としては、パスワードの代わりにパスキーを使用できる場面では積極的に切り替えるべきである。パスキーは初期状態から強度が高く、フィッシングにも強い。さらに重要なのは、パスキーはランダムに生成され、サインインの過程で共有されることがなく、秘密鍵が端末の外に出ることもない点だ。そのため、通信の傍受や、本記事で取り上げたような情報窃取型マルウェアによって侵害されることは、ほぼ不可能だ。
