Digital Arts Security Reports

2025/06/23    i-FILTER,m-FILTER,サイバー攻撃

ランサム侵入原因の34%が認証情報、メールとWebから忍び寄るインフォスティーラーとの関係

この記事の要約

  • 国内ランサムウェアインシデントから侵入原因を「脆弱性/認証情報/設定不備」に分類
  • 侵入原因の34%が「認証情報」によるもの
  • 従業員のインフォスティーラー(情報窃取マルウェア)感染が米国の大規模ランサムウェアインシデントにつながった可能性
  • 一定数の組織が、ランサムウェア攻撃前にインフォスティーラー感染していたという調査報告
  • 直近3か月で観測・収集したマルウェアでは、メールとWebでインフォスティーラーが最多

国内ランサムウェアインシデントから侵入原因を探る

ランサムウェアインシデントは後を絶たず、ニュースでも頻繁に目にするようになりました。ランサムウェアによる被害では、VPNやリモートデスクトップ用の機器から不正アクセスされ(※1)、データの窃取や暗号化が起きます。それらの復旧の対価として金銭を要求されます。

(※1)警察庁の「令和6年におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェアによる被害に遭った企業・団体等にアンケートを実施した結果を公開しています。そこでは、感染経路(侵入経路)については、有効回答100件のうち86件が「VPN機器」と「リモートデスクトップ」となっていました。およそ9割がVPNやリモートデスクトップ用の機器が狙われて、侵入・攻撃を許しているという結果です。


では、VPNやリモートデスクトップ用の機器に対してどうやって侵入してくるのでしょうか。ランサムウェアによる被害に遭った組織の公表内容をもとに、その侵入原因を調査しました。下記の集計は前提として、「公表されたランサムウェアインシデントのみ」という限られたサンプルでの数値となります。あらかじめご了承ください。

  • 対象:自組織が直接的な被害にあったランサムウェアインシデント(例えば、委託先が侵害されて預けていたデータに影響があったが、自組織内への侵害はなかったようなものは含まない)
  • 期間:2024年1月~2025年5月(インシデントの初公表日。分類にあたっては最新情報を確認。)
  • 総数:126件
  • 件数:38件(侵入原因に言及があったもの)

公表された情報によると、126件中38件のインシデントで、ランサムウェアの侵入原因を確認できました。

【図1】国内ランサムウェアインシデントの侵入原因
【図1】国内ランサムウェアインシデントの侵入原因

  • 脆弱性(ソフトウェアやネットワーク接続機器などの脆弱性をつくもの)
  • 認証情報(従業員アカウントや管理者アカウントの悪用など)
  • 設定不備(制限がなくブルートフォースを許して侵入された、など)
侵入原因のうちの34%が「認証情報」であり、そのインシデント例には、下記のようなものがあります。
初報被害組織侵入原因の概要
2024年6月エンタメ企業フィッシングなどによって窃取された従業員アカウント情報によって侵入され攻撃を受けた
2024年6月電子部品メーカー原因は外部の悪質な攻撃者によってシステムの管理者アカウントの IDとパスワードが何らかの形で不正に取得され、業務システム内にアクセスされてしまった
2024年2月建設会社VPNの認証情報を不正に得た攻撃者によって侵入され攻撃を受けた

ただし、認証情報がどうやって流出したのかなど、詳細を公表・判明している例はありません。

侵入原因の34%が「認証情報」、でもどうやって流出?

インシデントの発生後に「認証情報がそもそもなぜ流出したのか」を探ることは非常に困難です。フォレンジック調査(侵入経路や手法や経緯等を詳細に調査)をして可能な限りの究明を行ったとしても、特定できない場合があります。

パスワードが簡単なものであったり使いまわしていたりするのであれば推測できると思われますが、そうでない場合に考えられる要因としては

  • フィッシングサイトでだまされて盗まれた
  • マルウェアに窃取された
などが考えられます。

フィッシングというと個人を標的としているイメージが強いですが、業務用の認証情報を狙う攻撃もあります。また、認証情報を同期する設定にしていた個人アカウントが窃取された結果、同期していた業務利用の認証情報も窃取され組織内に侵入されたという事例もあります。

インフォスティーラー(情報窃取マルウェア)の台頭

インフォスティーラー(InfoStealer、情報窃取マルウェア)」は、ユーザーの個人情報や機密データを、Webブラウザーやメールクライアントなどから不正に収集するマルウェアの一種です。ID・パスワードの認証情報に加え、銀行口座情報、クレジットカード番号、電子メールの内容など多くの種類の情報が感染した端末から窃取されます。

インフォスティーラーは、メールの添付ファイルや悪質なWebサイトなどを通じて拡散され、ユーザーが気付かない間に感染することが多く、難読化や検出回避技術に長けているため発見が難しく、長期間にわたって情報を盗み続けることができます。サイバー犯罪者にとって非常に人気のツールとなっています。


米国医療史上最大のランサムウェアインシデントにインフォスティーラーの影

2024年2月、米国の大手ヘルスケアテクノロジー企業「Change Healthcare(CHC)」が「BlackCat/AlphV」によるランサムウェア被害に遭いました。

システム停止により全米の薬局や病院など多数の組織が混乱に陥り、個人情報は約1億9,000万人分が流出したとのことです。CHCは身代金2,200万ドル(約33億円)を支払ったことを公言しています。親会社であるUnitedHealthの2024年の決算報告書では、サイバー攻撃による影響総額として30億9,000万ドル(約4,635億円)を計上しました。

このランサムウェア攻撃の侵入経路と侵入原因については、
流出した認証情報を使って、 多要素認証を設定していないCHCのCitrixポータル(デスクトップへのリモートアクセスを可能にするアプリケーション)から侵入されたと公式から発表されています。

しかし、なぜ従業員のアカウント情報が流出したのでしょうか。公式には、Citrixアカウントがどのように流出したのかまでは説明されていません。

セキュリティ企業Hudson Rockの調査では、 インフォスティーラーによって流出した可能性があるといいます。

CHCへの最初の侵入は、2024年2月12日ですが、それよりも前の2024年2月7日に インフォスティーラーに感染したCHCの従業員を特定。インフォスティーラーによって盗まれた従業員のデータに、CHCに関連付けられたCitrixサーバーのアカウント情報があったというのです(ただし、このアカウントが実際の攻撃時に使われたものかどうかはわかっていません)。

さらに、この従業員はファイル共有サイトからインフォスティーラーをダウンロードし、実行して感染したと考えられると述べています。

【図2】CHCへのサイバー攻撃関連タイムライン
【図2】CHCへのサイバー攻撃関連タイムライン

従業員が、なぜファイル共有サイトからダウンロードするに至ったかというところまではわかりません。例えば、スパムメールに騙されてリンクをクリックしたり、改ざんされた Web サイトの表示にだまされたりなど、様々な可能性が考えられます。

Hudson Rockの記事内にはマルウェア名称の記載が無かったため、追加で調査したところ、ダウンロードしていたというファイルや時期から判断して「Vidar」というマルウェアの可能性があることがわかりました。Vidarは有名なインフォスティーラーで、感染した端末からクレジットカード情報やアカウント情報やブラウザの履歴など多くの機密データを収集します。

このように、 米国医療史上最大のランサムウェアインシデントは、従業員が感染したインフォスティーラーによって引き起こされた可能性が示唆されています。


インフォスティーラーとランサムウェアに関する興味深い調査報告

セキュリティ企業のKELAによれば、インフォスティーラーに感染したアカウントとランサムウェアグループと関連性が疑われ、 複数のケースでランサムウェアの被害者の認証情報が、攻撃が報告される5~95日前にサイバー犯罪市場で販売されていたことを確認したと述べています。


別のセキュリティ企業のSpyCloudの調査結果においても、 ランサムウェア被害に遭った企業の約3分の1は、攻撃前の16週間に少なくとも1つのインフォスティーラー感染を経験していたと報告しています。

メールとWebから忍び寄るインフォスティーラー

【図3】は、デジタルアーツのm-FILTERユーザーが受信した、悪性ファイルが添付されたメールの数(メール隔離/削除数含む)をマルウェア別に分類したものです。各月上位3位のマルウェアをピックアップして集計しました。

【図3】悪性ファイル添付メール受信数(メール隔離/削除数含む) マルウェア別内訳
【図3】悪性ファイル添付メール受信数(メール隔離/削除数含む) マルウェア別内訳

「Formbook」「Snake Keylogger」「Agent Tesla」はいずれもインフォスティーラーです。つまり、悪性ファイルが添付されたメールの大半がインフォスティーラー感染を狙うものです。

次の【図4】は、デジタルアーツが様々なデータソースから収集した悪性URL(フィッシングは含まない)をマルウェア別に分類したものです。各月上位3位のマルウェアをピックアップして集計しました。

【図4】悪性URL収集数 マルウェア別内訳
【図4】悪性URL収集数 マルウェア別内訳

こちらもインフォスティーラーが上位を占めていました。「Lumma Stealer」「Formbook」はインフォスティーラーであり、かつ「ClearFake」もLumma Stealerのようなインフォスティーラーをダウンロードさせるために多く使われています。

デジタルアーツの収集データにおいても、インフォスティーラーが犯罪者に人気であることが裏付けられるように、メールとWebの両方でマルウェアの上位を占めていることがわかりました。


おわりに

ランサムウェアインシデントにおいて、侵入経路としてはVPNやリモートデスクトップ用の機器が大半を占めますが、侵入原因の34%が「認証情報」によるものでした。

認証情報がインフォスティーラーによって窃取され、その認証情報を使って組織内へ侵入を許し、ランサムウェア攻撃が仕掛けられることも少なくありません。インフォスティーラーの多くがメールとWebから感染を拡げています。

インフォスティーラーへの対策は、メールとWebのセキュリティ対策が必要です。加えて、多要素認証の導入や最小限の権限設定を行うなど、認証認可の適切な設定も重要です。

インフォスティーラーへの対策を行うことが、同時にランサムウェア対策にもなるでしょう。

デジタルアーツでは

ランサムウェアの脅威から会社を守ります|デジタルアーツ株式会社
ランサムウェア対策についてWebセキュリティ、メールセキュリティ、ファイル暗号化ソリューションを通じてご説明します。

セキュリティ対策の新定番 ホワイト運用 - 「i-FILTER」Ver.10 ・「m-FILTER」Ver.5
高度・複雑化する標的型攻撃にも対応した業界No.1のWebフィルタリング「i-FILTER」。セキュリティ対策の課題やブラックリスト運用の課題の課題を通じてホワイト運用のメリットをご紹介します。

ファイル暗号化・暗号化ソフトなら FinalCode (ファイナルコード)
ファイル暗号化・暗号化ソフトなら「FinalCode(ファイナルコード)」。重要ファイルを暗号化して、利用状況を追跡、遠隔削除もできる究極のファイルセキュリティです。ファイル暗号化による情報漏洩対策には、FinalCodeをご活用ください。

DigitalArts@Cloud
DigitalArts@Cloudはホワイト運用を行い、Webセキュリティとメールセキュリティ、ファイルセキュリティをクラウドでご提供します。

シングルサインオン・ID管理 StartIn(スタートイン)
安全な「Login」で業務を快適に「Start」できる世界を実現するStartIn(スタートイン)は多要素認証、シングルサインオン、ID管理、ログ管理に対応するIDaaS(Identity as a Service)ソリューション です。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

最新情報をお届けします。