インフォスティーラーとは？感染経路と被害、有効な対策を解説

インフォスティーラーとは、その名の通り「情報（Information）」を「盗む者（Stealer）」を意味する、情報窃取型のマルウェアです。
主な目的は、感染したデバイスからID、パスワード、クレジットカード番号、暗号資産ウォレットのキーといった金銭的価値の高い情報を盗み出し、ダークウェブなどで売買して利益を得ることにあります。

ランサムウェアのようにデータを暗号化して身代金を要求するのではなく、ユーザーに気づかれないように潜伏し、静かに情報を収集し続けるのが特徴です。

インフォスティーラーと他のマルウェアとの最も大きな違いは、その目的にあります。
ランサムウェアの目的が、データを暗号化して使用不能にし、復旧と引き換えに身代金を要求することであるのに対し、インフォスティーラーの目的はあくまで情報を「静かに盗む」ことです。

そのため、ランサムウェアは感染すると画面がロックされるなど被害がすぐに表面化しますが、インフォスティーラーはバックグラウンドで活動するため、被害者が長期間にわたって感染の事実に気づかないケースが少なくありません。
この潜行性の高さが、被害の発見を遅らせ、より深刻な二次被害を引き起こす要因となっています。

インフォスティーラーが標的とするのは、攻撃者にとって直接的な金銭的利益につながる情報や、さらなる攻撃の足がかりとなる情報です。
Webブラウザーに保存された認証情報から、クレジットカード番号、暗号資産、さらには企業のネットワークへ侵入するためのVPN接続情報まで、その範囲は多岐にわたります。

これらの情報が一度漏えいすると、不正利用やなりすましによる被害だけでなく、所属する組織全体を危険に晒す可能性もはらんでいます。

多くのユーザーが利便性のために利用しているWebブラウザーのID・パスワード自動保存（オートコンプリート）機能は、インフォスティーラーの主要な標的です。
ここに保存されている情報は暗号化されているものの、それを解除して窃取する機能を備えたインフォスティーラーは少なくありません。

盗まれた認証情報は、SNSアカウントの乗っ取り、オンラインサービスの不正利用、さらには企業のシステムへの不正アクセスなど、さまざまなサイバー犯罪に悪用されます。
特に複数のサービスでパスワードを使い回している場合、被害は連鎖的に拡大する危険性が高まります。

インフォスティーラーはオンラインショッピングサイトで入力したクレジットカード情報やブラウザーに保存されたカード情報も狙います。
またキーボードの入力内容を記録するキーロガーとしての機能を持つものもありオンラインバンキングのログインページで入力したIDやパスワード乱数表の数字などをリアルタイムで窃取します。

これらの情報が攻撃者の手に渡るとECサイトでの不正利用や銀行口座からの不正送金といった直接的な金銭被害に直結するため極めて危険です。

暗号資産の価値が高まるにつれて、そのウォレット情報を専門に狙うインフォスティーラーが増加しています。
攻撃者は、PC内に保存されているウォレットのファイルや、ウォレットにアクセスするための秘密鍵、シードフレーズといった機密情報を窃取しようとします。

これらの情報が盗まれると、ウォレット内の暗号資産は攻撃者のアドレスへ不正に送金されてしまいます。
暗号資産の取引は匿名性が高く、一度流出した資産を取り戻すことは極めて困難であるため、被害は深刻なものになりがちです。

テレワークの普及に伴い、企業ネットワークへ接続するためのVPNアカウント情報もインフォスティーラーの重要な標的となっています。
VPNの認証情報が盗まれると、攻撃者は正規の従業員になりすまして社内ネットワークへ侵入し、機密情報の窃取やランサムウェアの展開といった、より大規模な攻撃の足がかりとする可能性があります。

また、Webサービスのログイン状態を維持するCookieデータも窃取対象です。
これを悪用されると、IDやパスワードを入力することなくアカウントを乗っ取られる「セッションハイジャック」の被害に遭う危険があります。

インフォスティーラーの感染経路は非常に巧妙かつ多岐にわたります。
攻撃者は人間の心理的な隙や日常的な行動の裏に罠を仕掛けてきます。
フィッシングメールに記載されたURL、検索結果に表示されるオフィシャルサイトそっくりの偽サイト、便利なツールを装ったソフトウェアなど、信頼できると錯覚させる手口が主流です。

これらの代表的な感染経路を理解し警戒することが、インフォスティーラーによる被害を防ぐための第一歩となります。

金融機関や大手ECサイト、公的機関などを装ったメールやSMSを送りつけ、記載されたURLをクリックさせる手口は、古くからある代表的な感染経路です。
リンク先は本物そっくりの偽サイトになっており、そこでIDやパスワードを入力させることで情報を窃取します。
また、URLをクリックしただけでマルウェアが自動的にダウンロードされる「ドライブバイダウンロード」攻撃も存在します。

業務連絡や緊急の通知を装うなど、文面は年々巧妙化しており、安易にリンクを開かない慎重な判断が求められます。

有名なフリーソフトやWebサービスを検索した際に、オフィシャルサイトに見せかけた偽サイトが検索結果の上位に表示されることがあります。
これは、攻撃者が不正なSEO対策（SEOポイズニング）や検索連動型広告（マルバタイジング）を悪用する手口です。

ユーザーが偽サイトとは気づかずにアクセスし、そこに設置された偽のダウンロードリンクからソフトウェアをインストールすると、インフォスティーラーに感染してしまいます。
ソフトウェアなどを入手する際は、検索結果を鵜呑みにせず、URLが本当にオフィシャルサイトのものであるかを確認する習慣が重要です。

Webブラウザーの機能を拡張する便利なアドオンや拡張機能に、インフォスティーラーが仕込まれているケースがあります。
攻撃者は、「広告ブロッカー」や「動画ダウンローダー」といった多くのユーザーが求める機能をうたい、公式ストアなどで悪意のある拡張機能を配布します。
ユーザーがこれをインストールすると、バックグラウンドで密かに活動を開始し、閲覧履歴やフォームへの入力情報、ブラウザーに保存されたパスワードなどを外部に送信します。

拡張機能をインストールする際は、提供元や他のユーザーによるレビューを十分に確認し、信頼性を判断する必要があります。

多くの人が利用するフリーソフトや、高価な有料ソフトの海賊版（クラック版）などにインフォスティーラーを同梱し、非公式のダウンロードサイトやファイル共有（P2P）ソフトなどを通じて配布する手口です。
ユーザーは目的のソフトウェアをインストールしているつもりでも、その裏ではインフォスティーラーのインストールも同時に実行されています。

ソフトウェア自体は正常に動作することが多いため、感染したことに気づきにくいのが特徴です。
ソフトウェアは必ず開発元のオフィシャルサイトからダウンロードするように徹底し、出所の不明なファイルは実行しないことが鉄則です。

Webサイトの閲覧中に「ウイルスに感染しました」「ドライバーの更新が必要です」といった偽の警告メッセージ（フェイクアラート）がポップアップ表示されることがあります。

これは、ユーザーの不安を煽り、偽のセキュリティソフトをインストールさせたり、サポート料金をだまし取ったりすることを目的とした手口です。
また、動画サイトの再生ボタンや、ファイルダウンロードのリンクに見せかけて、クリックすると認証情報（Googleアカウントなど）を求める偽のポップアップを表示させ、情報を盗み取る手口も確認されています。
このような画面が表示されても、慌てずブラウザーのタブを閉じるなど冷静に対処してください。

近年のインフォスティーラーは、攻撃の高度化と手口の多様化が進んでいます。
特に顕著なのが、「MaaS（MalwareasaService）」と呼ばれるビジネスモデルの台頭です。
これは、サイバー攻撃の専門知識を持たない者でも、ダークウェブなどでインフォスティーラーを有料（多くはサブスクリプション形式）で入手し、攻撃を実行できるサービスを指します。

代表的なスティラーである「RedLineStealer」や「RaccoonStealer」などは、MaaSとして提供されることで攻撃のハードルを下げ、世界的な脅威の拡大を後押ししています。
今後もインフォスティーラーは機能を追加しながら進化を続けると予測されています。

インフォスティーラーの脅威から身を守るために特別なITスキルは必ずしも必要ではありません。
日々のPC利用における基本的なセキュリティ対策を徹底するだけで感染リスクを大幅に低減させることが可能です。

具体的にはパスワード管理の徹底、多要素認証の活用、ソフトウェアの定期的な更新、そして信頼できるセキュリティソフトの導入が挙げられます。
これらの対策を複数組み合わせることでより強固な防御体制を築くことができます。

複数のWebサービスで同じパスワードを使い回す行為は非常に危険です。
万が一、あるサービスからパスワードが漏えいした場合、その情報をもとに他のサービスへ次々と不正ログインされてしまう「パスワードリスト攻撃」の被害に遭う可能性が高まります。
これを防ぐため、サービスごとに固有のパスワードを設定することが不可欠です。
パスワードは、英大文字・小文字・数字・記号を組み合わせた、12文字以上の推測されにくい文字列にしてください。

多数の複雑なパスワードを記憶するのは困難なため、パスワード管理ツールの利用も有効な手段です。

多要素認証（MFA）は、IDとパスワードによる認証に加え、SMSで送られる確認コードやスマートフォンアプリによる承認など、複数の認証要素を要求する仕組みです。
たとえインフォスティーラーによってIDとパスワードが盗まれたとしても、攻撃者は第二の認証要素を突破できないため、不正ログインを効果的に阻止できます。

現在、多くの金融機関や主要なWebサービスが多要素認証に対応しています。
セキュリティを大幅に向上させることができるため、利用可能なサービスでは積極的に有効化することを強く推奨します。

WindowsやmacOSといったOSや、Webブラウザー、各種アプリケーションには、時にセキュリティ上の欠陥である「脆弱性」が発見されます。
攻撃者はこの脆弱性を悪用して、マルウェアをPCに送り込もうとします。
ソフトウェアの開発元は、脆弱性が発見されるとそれを修正するための更新プログラム（セキュリティパッチ）を配布します。

ソフトウェアの自動更新機能を有効にしておくか、更新の通知が来たら速やかに適用することで、既知の脆弱性を悪用した攻撃から身を守ることができます。

総合的なセキュリティ対策ソフトの導入は、インフォスティーラー対策の基本です。
マルウェアの侵入を検知・ブロックするだけでなく、フィッシングサイトなどの危険なWebサイトへのアクセスを未然に防ぐ機能も備えています。

製品を選ぶ際は、既知のウイルスを検出するパターンマッチング方式に加え、未知のウイルスの不審な動きを検知する「ヒューリスティック機能」や「振る舞い検知機能」を搭載したものがより効果的です。
導入後は、ウイルス定義ファイルを常に最新の状態に保ち、定期的にシステムスキャンを実行することが重要です。

企業環境において、一人の従業員のPCがインフォスティーラーに感染することは、個人情報の漏えいや基幹システムへの侵入など、組織全体を揺るがす重大なセキュリティインシデントに直結します。
そのため、個人の対策に依存するのではなく、組織として多層的かつ体系的なセキュリティ対策を講じる必要があります。

これには、技術的な対策だけでなく、従業員教育といった人的な対策や、最新の脅威動向を把握する仕組みづくりも含まれます。

EDR（Endpoint Detection and Response）は、PCやサーバーといった「エンドポイント」の動作を常時監視し、不審な挙動を検知して管理者に通知するソリューションです。
従来のアンチウイルスソフトがマルウェアの侵入を水際で「防ぐ」ことを目的とするのに対し、EDRは万が一の侵入を許してしまった後の「検知」と「迅速な対応」に重点を置いています。

インフォスティーラーが侵入した際にその活動を早期に捉え、被害が拡大する前に対処することが可能になり、インシデントの影響を最小限に抑えます。

インフォスティーラーの感染経路の多くは、フィッシングメールの開封など、従業員の不用意な行動に起因します。
そのため、技術的な対策をどれだけ強化しても、従業員一人ひとりのセキュリティ意識が低ければ、リスクをゼロにすることはできません。

不審なメールの見分け方、安全なパスワード管理の重要性、不審なソフトウェアをインストールしないことなどを周知徹底するため、定期的なセキュリティ研修の実施が不可欠です。
たとえば、偽の攻撃メールを送る「標的型攻撃メール訓練」なども、従業員の対応能力を高める上で非常に有効です。
実際にＮＴＴドコモビジネスでは頻繁かつ抜き打ちで標的型攻撃メール訓練を実施しており、さらに情報セキュリティや危機管理のeラーニングなどを必須受講とすることで、徹底した対応能力向上と意識向上を図っています。

サイバー攻撃の手口は日々進化しており、インフォスティーラーも例外ではありません。
過去の知識や対策だけでは、新たな脅威に対応できない可能性があります。
そこで重要になるのが、最新のサイバー攻撃に関する情報を収集・分析した「脅威インテリジェンス」の活用です。

セキュリティベンダーなどが提供する脅威インテリジェンスサービスを利用することで、新たに出現したマルウェアの特徴や攻撃者の動向、注意すべき脆弱性といった情報をいち早く入手し、先手を打った防御策を講じることが可能になります。

「社内は安全、社外は危険」という従来の境界型防御の考え方では、一度侵入を許すと被害が拡大しやすいという課題がありました。

これに対し「ゼロトラスト」は、「すべての通信を信頼しない（ゼロトラスト）」ことを前提とし、情報資産へのアクセスごとに厳格な認証・認可を行うセキュリティモデルです。

万が一、従業員のPCがインフォスティーラーに感染し認証情報が盗まれたとしても、アクセス権限を必要最小限に絞り、不審なアクセスを遮断することで、重要情報への到達や他システムへの侵入拡大（ラテラルムーブメント）を防ぐことができます。

ここでは、インフォスティーラーについて多くの人が疑問に思う点や、いざという時の対応に関するよくある質問にお答えします。

感染しているかどうかを確認する具体的な方法や、万が一感染が疑われる場合の初動対応、そしてPC以外のデバイスにおけるリスクなど、実践的な知識をQ&A形式で解説します。

これらの情報を参考に、インフォスティーラーへの理解を深め、適切な備えを行ってください。

最も確実な方法は、信頼できるセキュリティ対策ソフトでシステム全体のスキャンを実行することです。
また、身に覚えのないクレジットカードの請求や、利用サービスからの不正ログイン通知なども感染を疑うサインとなります。

ただし、インフォスティーラーは活動を隠蔽するため、PCの動作が遅くなるなどの自覚症状が現れないことも多く、定期的なスキャンが重要です。

まず、感染したPCから速やかにLANケーブルを抜く、Wi-Fiをオフにするなどしてネットワークから切断し、被害拡大を防ぎます。
次に、スマートフォンなど別の安全な端末を使い、利用しているすべてのWebサービスのパスワードを変更してください。

その後、セキュリティソフトでマルウェアを駆除します。
企業の場合は、速やかに自社のセキュリティ担当部署へ報告してください。

はい、スマートフォンを標的としたインフォスティーラーも存在します。
特にAndroid端末では、非公式のアプリストアから入手したアプリにマルウェアが仕込まれているケースが多く報告されています。

SMSに記載されたURLから不正なアプリをインストールさせて情報を盗む手口もあるため、アプリは公式ストアから入手し、OSは常に最新の状態に保つなど、PCと同様の対策が求められます。

インフォスティーラーは、Webブラウザーに保存された認証情報やクレジットカード情報など、金銭的価値の高い情報を盗み出すことに特化したマルウェアです。
その感染経路はフィッシングメールや偽サイト、悪意のあるソフトウェアなど多岐にわたり、手口は年々巧妙化しています。

個人レベルでは、複雑なパスワードの設定や多要素認証の有効化、ソフトウェアの更新といった基本的な対策の徹底が求められます。
企業においては、これらの対策に加えて、EDRによる監視やゼロトラストにもとづいたアクセス制御、従業員教育といった組織的な取り組みが不可欠です。

関連サービス：セキュリティAIプラットフォーム　SentinelOne（センチネルワン）