証券口座の乗っ取りを招いた「インフォスティーラー」拡大中、パスワードや2段階認証が無力って本当!?

2025年春、証券口座の乗っ取り被害が相次いで発生し、社会問題となったのは記憶に新しいところ。背景には、セキュリティの専門家が「IDとパスワード、2段階認証による対策をしていても、ありとあらゆる認証情報が盗まれる」と警戒する「インフォスティーラー」と呼ばれるマルウエアの存在があります。インフォスティーラーについて、専門家が手口を解説するとともに、対策を教えてくれました。
盗まれたアカウント情報が裏マーケットで売られてしまう！

前述の証券口座の乗っ取りは2025年の3～5月がピークで、証券会社が相次いで対策をしたことで被害は大幅に減りました。しかし、乗っ取りが多発する前よりはいまだ件数が多く、被害が収まっていないことが分かります。

乗っ取り被害急増の要因となったのが、パソコン内の情報を盗み取って被害を与えるマルウエアの一種「インフォスティーラー」の存在。情報セキュリティを専門とするSBテクノロジーの辻伸弘氏は「インフォスティーラーは、ありとあらゆる情報を盗み取る。ブラウザーのパスワードマネージャーに保存されたIDやパスワードを盗むだけでなく、クッキーを盗むことで多要素認証もすり抜けてしまう。画面のスクショを撮って送信したり、認証用のQRコードを盗み取る機能も持っている。現状では、しっかり対策をしていても認証情報が盗まれてしまう。IDとパスワードによる保護はもう旧世代の対策だと考えるべき」と恐ろしさを解説します。

インフォスティーラーでやっかいなのが、犯人がインターネットの裏マーケットで盗んだ認証情報を売ってしまうこと。「1つのアカウント情報が10ドルぐらいで売られている」（辻氏）といい、一度情報が盗まれると世界中の攻撃者から狙われて被害が拡大する危険性があるのです。

マルウエアをダウンロードさせる偽CAPTCHAには要注意

「インフォスティーラーの検知件数は、昨年の4倍にも増えている」と解説するのはSBテクノロジーの鈴木雅人氏。

インフォスティーラーの侵入経路としては、メールやメッセージアプリ経由に加え、ソフトウエア（アプリ）があります。有名ソフトを装ったニセのソフトや海賊版ソフトに仕込まれている危険性があるので、ソフトウエアは正規品を正しく入手するようにしましょう。

Webサイトの広告経由でも侵入の可能性があるといいます。検索結果の上位に出ている広告がニセの内容で、リンクをクリックするとインフォスティーラーが仕込まれる…という流れです。

ここ1年ぐらいで急速に増えているのが「クリックフィックス」と呼ばれる手段。メールなどを経由して攻撃者が用意したWebサイトにアクセスすると、「私はロボットではない」ことを証明するための操作（CAPTCHA）を求められるのですが、実はこれが罠として用意された偽CAPTCHA。操作するように指示されているのはWindowsのコマンドで、指示通りに操作するとインフォスティーラーなどのマルウエアが自分のパソコンに仕込まれてしまいます。

巧妙なのが、コピペなどの簡単な操作でマルウエアを入手するコマンドが入力され、コマンドの見える範囲は正しいCAPTCHAであるかのような内容を表示するようになっている点です。さらにやっかいなのが、ユーザーが意図的に操作して実行しているので、ウイルス対策ソフトでは対応できないケースもあること。

ロボットではないことを証明するために操作をするCAPTCHAは、パソコンだけでなくスマホでもよく表示されることから、CAPTCHAの画像が出ると「またか」と疑わずに操作してしまいがち。「ユーザーがCAPTCHAに慣れていることもあり、心理的なハードルが低くなっている。人間がどうすればマルウエアをインストールしてくれるか、攻撃者は本当によく研究している」（鈴木氏）
手間はかかるが、複数の対策を組み合わせるとよい

対策として、鈴木氏はメールやメッセージのリンクを使わず、ブラウザーのブックマークからしかアクセスしないことをまず挙げます。さらに、ブラウザーのパスワードマネージャーを使わず外部の信頼できるパスワードマネージャーを利用したり、ブラウザーのシークレットモード（プライベートモード）を使うのも有効だとしました。前述の偽CAPTCHAを働かないようにするため、Windows＋Rのショートカットを無効にしておく対策もあります。「これらの対策は利便性を落とすことにつながるが、複数の対策を組み合わせるとより効果的だ」（鈴木氏）。