インフォスティーラー(Infostealer)は、近年急増している情報窃取型マルウェアの一種です。感染すると、PCやスマートフォンからパスワード、クレジットカード情報、暗号資産ウォレット、業務ファイルなどをユーザーの操作なしに盗み出します。
特にRedLineやRaccoon、Vidarといったインフォスティーラーは、サイバー犯罪者によってツール化・商品化され、誰でも簡単に利用できるようになったことで世界的に拡散しています。
本記事では、インフォスティーラーの説明から種類、対策まで解説していきます。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
目次
インフォスティーラーとは
インフォスティーラー(Infostealer)は「情報窃取型マルウェア」の一種で、感染した端末からパスワードやクレジットカード番号、認証トークン、スクリーンショット、キーボード入力(キーロガー)などの機密情報を盗み出す機能に特化しています。
個人・法人を問わず、情報漏洩や不正アクセス、金銭的損失など深刻な被害をもたらすリスクがあり、見つけにくく・気づきにくい点が最大の脅威です。
インフォスティーラーの主な特徴は以下の通りです。
情報窃取機能に特化している
インフォスティーラーは、複数の情報を静かに収集し、被害者に気づかれることなく外部へ送信します。特にキーロガーやスクリーンショット機能、ブラウザからの認証情報抜き取りが特徴です。
- ブラウザに保存されたID・パスワード
- クレジットカード番号や銀行口座情報
- チャットログ、メール内容、スクリーンショット
- 暗号資産ウォレット情報(シードフレーズ含む)
- キーボード入力履歴(キーロガー機能)
- コピー&ペーストされたクリップボードの内容
- 端末のOSバージョン、IPアドレス、インストール済みソフト
上記情報は短時間で自動収集され、攻撃者のC2サーバーへ送信されます。中には暗号化せず漏えいリスクが高い亜種や、自己消滅して証拠を残さないタイプも存在します。
多様な感染経路を持つ
感染ルートは年々多様化しており、メール添付、改ざんサイト、不正リンクなどのほか、マルバタイジングや海賊版ソフトにも注意が必要です。
- フィッシングメールの添付ファイルや偽リンク
- 改ざんサイトや偽のソフトウェアアップデート
- マルバタイジング(悪質な広告)
- 違法ソフト・チートツール・非公式ダウンロード
- USBメモリやクラウドストレージ経由
- ドライブバイダウンロード型の感染
正規に見えるクラウドサービスを装った感染もあり、企業ネットワークでも被害が拡大しています。
代表的な侵入経路と具体的な手口については、以下の記事でも詳しく解説しています。あわせてご参照ください。
検知されにくい設計
インフォスティーラーは、LotL(Living off the Land)やファイルレス実行、仮想環境の検出回避など、高度な回避機構を備えています。GoやPythonによる実行ファイル、正規証明書の悪用などにより、ウイルス対策ソフトの検出をすり抜けることができます。
流出した情報が犯罪に悪用される
窃取された情報は、Telegramやダークウェブ上で即座に販売・共有され、不正アクセスや金融詐欺、なりすまし攻撃に使われます。
- アカウント乗っ取り(SNS・メール・クラウド)
- クレジットカードの不正使用・送金
- なりすましによる詐欺・取引偽装
- 企業の内部侵入やサプライチェーン攻撃
- 情報そのものの売買・拡散
インフォスティーラーによる情報漏えいは、多要素認証や情報漏洩監視といった一般的な対策だけでは防ぎきれないケースがあります。特に法人では、発見の遅れが大規模な情報流出や業務停止といった深刻なトラブルにつながる恐れがあります。
不審なログイン通知や漏えいの兆候に気づいた場合は、被害の有無や送信された情報を正確に把握するためにも、証拠を保全し、速やかにデジタルフォレンジック調査の実施を検討してください。
また、感染時の初動対応については、以下の記事で詳しく解説しています。
インフォスティーラーが盗む主な情報
インフォスティーラーが窃取する情報は多岐にわたり、個人・企業問わず深刻な被害を引き起こす可能性があります。以下は主な対象とその概要です。
| カテゴリ | 具体的な情報 | 説明 |
|---|---|---|
| 認証情報 | ・ID・パスワード ・セッションCookie |
ブラウザやアプリに保存されたログイン情報。Cookieが盗まれると不正ログインが発生しやすくなります。 |
| 金融情報 | ・クレジットカード番号 ・銀行口座情報 ・暗号資産ウォレット情報 |
ネットバンキングや仮想通貨取引で使用する情報。窃取されると不正送金や資産流出につながります。 |
| 個人・機密情報 | ・氏名・住所・電話番号 ・チャットログ・メール内容 ・保存ドキュメント |
端末やクラウド上の個人・業務データが対象です。機密文書流出やなりすましリスクにつながります。 |
| システム情報 | ・OS情報・インストールアプリ一覧 ・端末識別情報・IPアドレス |
攻撃者がシステムの脆弱性や構成を把握するために利用されます。 |
| その他 | ・ブラウザ閲覧履歴・オートコンプリート ・スクリーンショット・クリップボード内容 |
利用者の行動履歴や入力情報が対象となり、非常に多くの機密が漏洩します。 |
上記データは感染と同時に攻撃者のサーバーへ送信され、ダークウェブやTelegramなどで即座に売買・悪用されます。特に認証情報や金融情報は、二次被害の引き金となるケースが非常に多い点に注意が必要です。
万が一インフォスティーラーに感染した可能性がある場合、すでに情報漏えいが発生していると考えるべきです。被害の有無や流出範囲を正確に把握するには、専門的な調査会社によるフォレンジック調査の実施が推奨されます。
代表的なインフォスティーラーの種類
インフォスティーラーには多種多様な亜種があります。以下は特に被害報告が多く、注意が必要な代表的マルウェア5種です。
RedLine Stealer
RedLine Stealerは、2020年ごろから世界中で急速に拡散した情報窃取型マルウェアです。ID・パスワード、クレジットカード情報、暗号資産ウォレット、Cookie、ブラウザの自動入力情報など、幅広い機密データを標的としています。
感染経路は、不正広告(マルバタイジング)、クラックツール、フィッシングメールなど多岐にわたり、個人・法人を問わず広く被害が発生しています。
MaaS(Malware as a Service)として月額制で提供され、技術知識が乏しい攻撃者でも簡単に利用可能です。この特性により、RedLineは2024年時点で23億件以上の認証情報流出の主因となっており、Flashpointによれば情報窃取型マルウェア全体の被害の中心となっています。
>RedLine Stealerとは?特徴・検知回避技術・被害リスクを徹底解説
出典:Flash Point
Raccoon Stealer
Raccoon Stealerは、60以上のアプリから認証情報やクレジットカード情報、暗号資産ウォレットなどを盗むマルウェアです。2019年に登場し、月額課金制で犯罪者に提供されてきました。
開発者の逮捕により一時停止していましたが、2023年に復活し、検索機能やボット対策などの新機能を搭載。誰でも使いやすく、検出されにくい設計へと進化しています。
セッションCookieの窃取により多要素認証を回避する攻撃も確認されており、危険性が高いマルウェアです。
Vidar
Vidarは2018年ごろから確認されているロシア発のインフォスティーラーで、RedLineに似た機能を持ちます。主にブラウザ保存の認証情報、Cookie、スクリーンショット、FTP・VPNの設定情報などを標的とし、柔軟なカスタマイズ性から標的型攻撃にも多用されています。
2025年2月には、Steam上に公開された無料ゲーム「PirateFi」にVidarが仕込まれていた事例が発覚しました。1,500人近くがダウンロードしたとされ、開発元になりすました攻撃者が不正なゲーム実行ファイルを通じてマルウェアを拡散していたと報告されています。
感染によりブラウザのセッションCookieや仮想通貨ウォレット、メール情報などが窃取される恐れがあり、Steamは影響を受けたユーザーにWindowsの再インストールを推奨しました。
Taurus
Taurusは、2020年に「Predator The Thief」グループによって開発された情報窃取型マルウェアです。ブラウザのパスワードやCookie、暗号資産ウォレット、メール・FTPの認証情報、VPNやチャットアプリのセッションデータなどを盗み出します。
スクリーンショット取得や、ランサムウェア・キーロガーなど別のマルウェアをダウンロードする機能も備えており、複合的な被害を招く可能性があります。
感染経路にはスパムメール、海賊版ソフト、偽アップデーターなどがあり、感染しても症状が出にくいため、被害の発見が遅れるケースが多く報告されています。
出典:PCrisk
AZORult
AZORultは2016年から活動が確認されている情報窃取型マルウェアで、ブラウザのパスワードやCookie、クレジットカード情報、仮想通貨ウォレットなどを短時間で盗み出します。感染から数分で被害が発生するケースもあり、現在も検知回避機能を強化した亜種が流通しています。
2020年には、偽のProtonVPNサイトを使った攻撃が確認され、インストーラーにAZORultが仕込まれて配布されました。実行後はシステム情報や認証データが即座に攻撃者のC2サーバーへ送信されます。
正規ソフトを装った偽サイトによる感染リスクが高く、ダウンロード元の信頼性確認が不可欠です。また、AZORultは他のマルウェアを呼び込むダウンローダーとしても利用され、複合的な被害に発展する危険性があります。
インフォスティーラーの悪用実態
インフォスティーラーによる情報窃取は、個人・企業を問わず深刻な被害を引き起こしており、手口は年々巧妙化しています。
Telegram上での情報売買の拡大
従来、窃取情報の流通先はダークウェブが主でしたが、現在はTelegramが主要プラットフォームのひとつとなっています。チャンネルやボットを通じて、誰でも認証情報や個人データを検索・取得できる環境が形成されています。
RedLineやRaccoon、Vidarなどが収集したデータが日々Telegram上に流通しており、無料サンプルの提供やサブスク販売形式などによる商業化が進んでいます。
ランサムウェアとの連携による被害増加
セキュリティ企業KELAの調査によると、インフォスティーラーで盗まれた認証情報が、平均2.5週間後に発生するランサムウェア攻撃で悪用されているケースが多数確認されています。
「Play」「Akira」「Rhysida」などのランサムウェアグループとの関連も見られ、窃取データが攻撃前の5〜95日前にサイバー犯罪市場で売買されていたことが明らかになりました。
出典:Zdnet
インフォスティーラー感染が疑われる症状
次のような兆候が見られる場合、すでにインフォスティーラーに感染している可能性があります。
- ブラウザに保存されたID・パスワードが突然消えている
- 身に覚えのないログイン通知やパスワード変更メールが届く
- PCの動作が極端に遅くなり、フリーズや再起動が頻発する
- タスクマネージャーに見慣れないプロセスが常駐している
- VPNやセキュリティソフトが無断で停止されている
- 不審な .exe ファイルがスタートアップに登録されている
上記紹介した兆候がある場合、すでに情報漏えいが発生している可能性があります。証拠を改ざんしてしまうリスクを避けるためにも、安易な自己対応は控え、フォレンジック調査によるデータ保全と被害範囲の把握を行うことが重要です。
感染が疑われる場合は、まず端末をネットワークから切断し、セキュリティソフトでスキャンを実施。その後、専門調査会社への早期相談をおすすめします。
フォレンジック調査で情報漏えいの有無を確認する
情報がどこまで流出しているかを確認したい場合や個人情報が悪用されている心配がある場合、専門家によるフォレンジック調査(電子機器のログやデータ解析)を実施すると、攻撃の侵入経路や感染履歴、漏えいリスクの程度を明らかにできます。
フォレンジック調査(デジタルフォレンジック調査)とは、PCやスマホの内部ログを解析し、不正アクセスやマルウェア感染の有無を調べる技術です。警察の捜査でも活用される高度な手法で、個人情報漏えいの可能性や被害範囲の特定に役立ちます。
さらに、以下の内容も調査することが可能です。
- 不正アクセスがどの経路から行われたか(例:リモート操作、遠隔ソフト)
- どのファイル・データが外部に送信された可能性があるか
- マルウェアやスパイウェアの感染履歴・痕跡の有無
- 個人情報(氏名・住所・パスワード・カード情報など)の漏えいリスクの程度
さまざまなリスクが考えられるため、一度フォレンジック調査会社など専門家に相談することが推奨されます。
>フォレンジック調査とは?メリットやインシデント別の調査事例を解説
当社では、デジタルフォレンジックの技術を用いて、情報漏えいの有無を調べるサービスをご用意しています。24時間365日ご相談を受付けており、専門アドバイザーによる相談から見積りまで無料でご案内していますので、自己判断では不安な場合はお気軽にご相談ください。
自力で対応できない場合はフォレンジック調査の専門業者に依頼する
ハッキングや不正アクセス、ウイルス感染、情報漏えいなどの問題が起きた際、自分だけでの対応が難しいと感じたら、迷わずフォレンジック調査の専門業者に相談しましょう。
どこから侵入され、どんな情報が漏れたのかを正しく把握することが重要です。特に、被害が大きい場合や情報が悪用された疑いがある場合は、専門家によるフォレンジック調査を実施することで、被害の拡大を未然に防ぐ有効な対策につながります。
信頼できる業者を選び、早めに動くことが、トラブルを最小限に抑えるポイントです。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
インフォスティーラーの対策方法
インフォスティーラーへの感染を防ぐには、日常的なセキュリティ意識と基本的な対策の徹底が不可欠です。万が一感染した場合の被害を最小限に抑えるためにも、以下の対策を実践しましょう。
疑わしいメールやリンクを開かない
最も基本的かつ有効なマルウェア対策です。フィッシングメールや偽装リンクは感染の入り口となるため、次のポイントに注意しましょう。
- 送信元のメールアドレスに不審な表記が含まれていないか確認する
- リンクをクリックせずにマウスオーバーで実際のURLを確認する
- ZIPファイルや.exeファイルを不用意に開かない
OSおよびソフトのアップデートを徹底
インフォスティーラーは脆弱性を悪用して侵入するため、常に最新の状態を保つことが情報漏洩防止につながります。
- Windows UpdateやmacOSのセキュリティ更新を定期的に確認する
- ブラウザ、PDFリーダー、セキュリティツールなども最新版に保つ
- 不要なアプリケーションや拡張機能は削除する
多要素認証(MFA)の導入
パスワードに加えてスマートフォン認証や指紋認証などを併用することで、情報が盗まれた場合でも不正ログインを防止できます。
VPNを利用する場合は、設定ミスや脆弱なプロトコルの利用によってかえってリスクを高める可能性があるため、適切な運用が求められます。
セキュリティソフトの活用と監視
実績のあるセキュリティソフトは、既知のインフォスティーラーに対してリアルタイムで反応します。以下のポイントに留意しましょう。
- リアルタイム保護と定期スキャンを有効にする
- 未知の挙動検知やヒューリスティック分析機能を活用する
- EDR(Endpoint Detection and Response)導入も検討する
端末に保存する情報を最小限にする
万が一インフォスティーラーに感染した場合でも、被害の拡大を防ぐには端末内に残す情報を最小限に抑えることが有効です。以下のポイントを意識しましょう。
- ブラウザにパスワードやカード情報を保存しない
- 自動ログイン機能を使用せず、毎回手入力を心がける
- 使用していないアカウント情報は削除・無効化する
情報漏洩チェックの定期実施
アカウント情報が漏洩していないかを確認することで、早期発見・早期対処につながります。Have I Been Pwned などの漏洩確認ツールを使い、メールアドレスやドメインが流出していないかをチェックしてください。
まとめ
インフォスティーラーは、個人でも企業でも被害をもたらす極めて深刻なマルウェアです。日々進化する手口に備え、システムの更新、認証の強化、保存データの最小化、ログの監視といった対策を講じることで、感染リスクを大幅に低減できます。
特に企業において被害の兆候が見られる場合、証拠改ざんを避けるために社内調査を控え、速やかにフォレンジック調査専門機関への相談を行うことが推奨されます。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
