2025年のサイバー犯罪統計を分析した最新の報告書によると、ランサムウェアの被害者数は前年比45%増となっている。
しかしながら、最も注目すべきはその数字ではない。筆者が重要だと考えるのは、その背景にある盗まれた認証情報が主要な侵入手段として使われているという実態だ。どのプラットフォームを使っていようと、どのアカウントを守ろうとしていようと、パスワードセキュリティを真剣に考えるべき時期はとうに過ぎている。
サイバー脅威インテリジェンス企業のKELAが発表したレポート「State of Cybercrime 2026」では、漏洩した認証情報が少なくとも28億6000万件にのぼることが判明している。この中には、パスワードだけでなく、2FA(二要素認証)を迂回可能にするセッションクッキーも含まれている。驚くべきことに、これはビジネス向けクラウドサービスや認証サービスが、2025年に流出したデータ全体の30%以上を占めていた。さらにこの分析では、認証情報を窃取するインフォスティーラー(情報窃取型マルウェア)がOSを選ばないことも示された。報告書は「macOSデバイスでの感染は、2024年の1000件未満から2025年には7万件超へと増加し、7000%の伸びを記録した」と述べている。
パスワードセキュリティ──クリックから認証情報の窃取へ
筆者はインフォスティーラーの脅威について、長年にわたり読者に警鐘を鳴らしてきた。漏洩したインフォスティーラーのログに含まれていた数百万件のGmailパスワード、盗まれたパスワードデータベースの背後にいる犯罪組織を摘発しようとするFBIの作戦──その事例は枚挙にいとまがない。しかし、KELAの分析が示すとおり、この脅威は衰えるどころか、年を追うごとに拡大の一途をたどっている。
KELAの説明によると、インフォスティーラーとは「侵害された端末から、ログイン認証情報、認証トークン、その他の重要なアカウント情報を含む機密データを外部に持ち出すよう設計された」マルウェアである。そして、MaaS(Malware-as-a-Service、サービスとしてのマルウェア提供)がインフォスティーラーの犯罪世界でほぼ普遍的に利用可能になった今、参入障壁は低くなったどころか、完全に取り払われた状態にある。
