マルウェア
インフォスティーラー
別称: スティーラー, 情報窃取マルウェア
定義
感染端末から認証情報、Cookie、トークン、暗号資産ウォレットなどの機密データを収集し、攻撃者へ持ち出すマルウェア。
インフォスティーラーは、長期的な持続化よりも価値あるデータの迅速な収集と持ち出しに特化したマルウェア群です。典型的な標的には、ブラウザ保存のパスワード、自動入力情報、セッション Cookie や OAuth トークン、FTP/SSH クライアント、暗号資産ウォレット、メッセージングアプリのデータなどがあります。盗まれたログはアンダーグラウンド市場で売買され、ランサムウェアを含む後続の侵害の起点になることが多々あります。配布経路はフィッシング、クラックソフト、不正広告、ドライブバイダウンロードなどです。対策としては、スティーラー対応のエンドポイント保護、ハードウェアバインドのトークンや FIDO2、ブラウザ分離、パスワードマネージャ、地下市場の監視、検知後のパスワードとセッションの迅速なリセットなどが挙げられます。
例
- RedLine Stealer がブラウザのログイン情報と暗号資産ウォレットを収集する。
- Vidar や Raccoon Stealer のログがアンダーグラウンドマーケットで販売される。
関連用語
認証情報窃取マルウェア
感染システムやそのメモリからパスワード、ハッシュ、認証トークンを取り出すことに特化したマルウェア。
キーロガー
利用者のキー入力を記録するソフトウェアまたはハードウェア。パスワード・金融データ・メッセージなどの窃取に使われる。
スパイウェア
利用者・端末・組織に関する情報を密かに収集し、外部に送信するマルウェア。
バンキングトロイの木馬
オンラインバンキングの認証情報を盗み、不正送金を承認させるよう設計されたマルウェア。Web インジェクト、フォームグラブ、オーバーレイなどを用いる。
セッションハイジャック
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。