インフォスティーラーとは？Cookie・保存済み資格情報を盗む危険性と対策方法を徹底解説

インフォスティーラーとは何か

Cookie、保存済み資格情報、端末情報を抜き取る情報窃取型マルウェアです

インフォスティーラーは、端末へ侵入し、ブラウザの Cookie、保存済み資格情報、フォーム情報、端末情報などを抜き取る情報窃取型マルウェアです。Microsoft のVoid Blizzard 分析↗でも、窃取済み認証情報が後続侵害に使われていると説明されています。

ここで重要なのは、インフォスティーラーが「ランサムウェアの前段」であることだけではありません。多くの場合、感染端末そのものより、抜かれた認証情報や Cookie が別の端末・別の攻撃者に再利用されることが企業リスクを大きくします。

クレデンシャルスタッフィングと違い、『盗む段階』が主役です

クレデンシャルスタッフィングは、すでに流出した認証情報を他サービスへ試す攻撃です。一方でインフォスティーラーは、認証情報や Cookie を端末から抜き取る段階を主役にします。

そのため、「ログイン試行の防御」だけでなく、ブラウザ保存、拡張機能、持ち込み端末、委託先端末、ローカル権限のような端末側の露出面を一緒に見ないと対策が半分で止まります。 とくにブラウザ経由の入口を減らしたい場合は、悪意あるブラウザ拡張機能のように、資格情報窃取やセッション再利用の前段になる拡張機能リスクも合わせて確認する必要があります。

トークン窃取や初期アクセス売買の前段として理解すると整理しやすくなります

インフォスティーラーが怖いのは、端末侵害だけで閉じないからです。抜かれた Cookie やトークンはセッショントークン窃取に使われ、認証情報は初期アクセスブローカーや別の不正アクセスへ回ることがあります。

したがって、インフォスティーラー対策は「マルウェアを消す」だけでは足りません。「何が盗まれた可能性があり、どのログイン面で再利用されるか」までを同じ事案として扱う必要があります。

Cookie を抜かれると、MFA の前段を飛び越えられることがあります

検索意図の中でも関心が強いのは、「感染しただけでなぜ別端末から入られるのか」です。ここで鍵になるのがブラウザの Cookie とセッショントークンです。これが抜かれると、セッショントークン窃取の形で、パスワード再入力や MFA を経ずに既存セッションを再利用されることがあります。

そのため、被害評価では「どのアカウントのパスワードを変えるか」だけでなく、「どのセッションを失効するか」「どのブラウザと端末を強制サインアウトさせるか」まで含める必要があります。ここが遅いと、端末を隔離しても別の場所から不正利用が続きます。

なぜ成立するのか、どこが盲点になるのか

インフォスティーラーの本当の価値は、『抜いた後に別の攻撃へ使えること』です

インフォスティーラーは、端末を壊すためではなく、別の不正アクセスへ使える情報を回収するためのマルウェアと考える方が実務に合います。Microsoft は Void Blizzard の分析で、汎用的なインフォスティーラー群に由来するとみられる窃取済み認証情報が侵入に使われていると説明しました。

つまり、感染の瞬間に画面上の異常が少なくても安心できません。端末側で目立つ破壊がなくても、Cookie や資格情報はすでに外へ出ており、あとからメール、SaaS、管理画面で不正利用される場合があります。

CSRB の Lapsus$ 報告書も、情報窃取が後続侵害の前段になると整理しています

CISA 公開のCSRB による Lapsus$ 報告書↗は、若年層を含む攻撃者が情報窃取ツールや認証情報窃取を組み合わせ、後続侵害へ進んだ構図を整理しています。ここから分かるのは、インフォスティーラーが単独で完結する脅威ではなく、別の攻撃チェーンを支える部品になっていることです。

そのため、感染端末の掃除だけで終えると、外に出た情報の再利用を見逃します。事案の閉じ方を誤ると、「マルウェアは消えたのに侵害が続く」状態が起きます。

感染端末より『感染端末で使われたアカウント』を追う必要があります

インフォスティーラー対応で企業がつまずきやすいのは、端末フォレンジックへ意識が寄りすぎることです。もちろん端末調査は必要ですが、実務ではその端末で誰が何のアカウントを使っていたかを同じ重さで追わなければいけません。

特にメール、共有ファイル、管理画面、財務システム、委託先ポータルのような高価値アカウントは、感染端末と切り離して パスワード変更、セッション失効、MFA 再登録、関連端末確認まで進める必要があります。ここが遅いと、ビジネスメール詐欺や横移動の入口になります。

感染後の最初の30分で、端末とアカウントを同時に止める必要があります

実務では、端末隔離、ブラウザ強制サインアウト、該当アカウントのセッション失効、パスワード変更、MFA 再登録、メール転送ルール確認を一つの初動にまとめると、後続侵害を短くできます。マルウェア対策班と認証管理班が分かれている組織ほど、ここが遅れます。

だからインフォスティーラー対応は「端末の駆除」ではなく、「盗まれた情報の再利用をどれだけ早く止めるか」で評価した方が、検索意図にも実務にも合います。

被害の広がり方と企業側のリスク

一つのインフォスティーラー感染が、複数の認証事故へ変わります

インフォスティーラーは、「1 台の端末の問題」に見えて、実際には複数の認証事故へ広がります。感染端末でメール、SaaS、開発基盤、財務システム、委託先ポータルを使っていれば、抜かれた情報はそれぞれ別の不正利用へつながります。

そのため、「端末を隔離したから一安心」ではありません。端末から外へ出た情報は、別の PC、別の回線、別の攻撃者によって使われることがあります。事故の対象は端末ではなく、端末で扱われた認証面全体と考えるべきです。

高権限者や委託先アカウントほど、インフォスティーラーの価値が高くなります

インフォスティーラーで抜かれる情報の価値は一律ではありません。高権限者、委託先、夜間当番、共有メールのように一つのログインで複数の判断や設定変更へ届くアカウントほど、後続被害が重くなります。

ここで注意すべきは、「一般利用者向け MFA は強いのに、委託先や共有運用だけ古い」という状態です。インフォスティーラーはこうした運用の隙間と相性が良く、最初の感染が小さくても被害は深くなります。

検知が遅いと、インフォスティーラーは初期アクセス売買やランサムウェアの前段になります

盗まれた情報は、すぐに直接使われる場合もあれば、あとで初期アクセスブローカーや別の攻撃者へ回ることもあります。つまり、インフォスティーラーは一つのマルウェア系統というより、後続侵害へ資材を供給する工程だと考えた方が実態に近いです。

そのため、端末検知だけで終わらず、認証基盤、メール、SaaS、公開面を横断して初動を短くする必要があります。ここが遅いと、「インフォスティーラーは収束したが別の侵害が始まった」という状態になります。

高権限アカウントと委託先をどう守るか

高権限者の端末ルールは、一般利用者と同じにしない方が安全です

インフォスティーラーの被害を重くするのは、感染台数そのものより、感染端末でどのアカウントが使われていたかです。とくに管理者、財務、システム運用、夜間当番のような高権限者は、一つのログインで複数の設定変更や承認に届くことが多く、一般利用者と同じ端末ルールでは危険が高くなります。ブラウザ保存、私物端末、拡張機能、ローカル権限を高権限者だけでも別基準で管理すると、被害の深さを抑えやすくなります。

ここで重要なのは、MFA を入れているかどうかだけで安心しないことです。インフォスティーラーは Cookie や保存済み認証情報を抜き取り、後続の不正利用へつなげます。だから高権限アカウントでは、認証方式と同時に、どの端末で扱うか、どのブラウザへ保存させないかまで決めておく必要があります。

委託先と外部委任アカウントは、感染後の連絡経路まで決めておくべきです

委託先アカウントは、普段の利用頻度が低くても、障害対応や保守作業で一気に価値が上がります。そのためインフォスティーラーの後続利用先として狙われやすく、しかも連絡経路が曖昧だと封じ込めが遅れます。契約先ごとに、どのアカウントを持ち、どの端末で使い、感染が疑われたとき誰へ何分以内に連絡するかを決めておくと、初動を短くできます。

実務では、委託先を「社外だから別問題」と扱うより、社内の高権限者と同じ重さで見る方が安全です。インフォスティーラー対策は端末管理、認証管理、委託先管理がつながって初めて機能します。境界をまたぐアカウントほど、平時の台帳と有事の連絡経路 を先に整えてください。

とくに委託先や高権限者の端末は、感染後に何を止めるかまで事前に決めておくと初動が速くなります。端末だけでなく、認証情報、ブラウザ保存、作業端末の使い分けまで含めて準備することが重要です。

高権限者ほど、端末運用の例外を減らすことが重要です。

後続侵害の事例をどう読むべきか

情報窃取の本当の怖さは、盗まれた直後より使われる場面にあります

インフォスティーラーは、感染した瞬間より、その後に盗まれた認証情報や Cookie がどう使われるかを見た方が実態をつかみやすくなります。公開されている調査報告でも、情報窃取そのものが最終目的ではなく、メール、SaaS、開発基盤、クラウド管理画面への不正利用へつながる前段として整理されています。つまり企業側が追うべきなのは、感染台数だけでなく、盗まれた情報が届く認証面の広さです。

ここで重要なのは、端末調査と認証事故の調査を別物にしないことです。端末フォレンジックだけを進めると、抜かれた Cookie やセッション情報が別の回線から使われている事実を見落としやすくなります。インフォスティーラー対策では、感染端末の時系列と、同じ時間帯に発生したログイン、転送設定、権限変更を並べて追う必要があります。

端末の隔離後も『認証済みの状態』は残り続けることがあります

多くの組織では、端末をネットワークから外した時点で封じ込めた気になりがちです。しかし、すでに抜かれた Cookie、保存済み資格情報、クラウドのセッションは端末の隔離後も使われうるため、そこで事故が終わるわけではありません。だからインフォスティーラーの初動では、隔離と同じ優先度でセッション失効、パスワード変更、再認証、転送設定確認を進める必要があります。

後続侵害を短くするには、端末側の調査班と、認証・メール・SaaS の運用班が同じタイムラインで動くことが欠かせません。インフォスティーラーを「マルウェア事故」とだけ捉えると、攻撃者が本当に狙っている認証済み状態の悪用を止め損ねます。実務では、端末の封じ込めと認証面の封じ込めを同時に走らせることが最も効果的です。

その意味で、インフォスティーラーの調査は「感染したソフトの名前」を確定することより、「どの認証面へ波及しうるか」を確定する方が優先度は高くなります。端末名、利用アカウント、外部ログイン面、委託先接続を早く並べるほど、後続被害の範囲を短時間で絞り込みやすくなります。

だからこそ、端末調査の結果を待ってから認証側を動かすのでは遅くなります。感染直後から「どの入口が使われるか」を同時に見ておくことが、実務では最も効きます。初動で入口を洗い出せれば、後続被害の広がり方もかなり読みやすくなり、報告も整理しやすくなり、判断も早まります。結果の共有も早まります。

企業が優先してやるべき対策

インフォスティーラー対策は、端末のマルウェア駆除だけに閉じると不十分です。Cookie と資格情報の保管面、端末の統制、感染後のセッション失効、公開ログイン画面の削減までを一つの運用として設計する必要があります。

ブラウザ管理と保存済み資格情報の整理を、高リスク端末から先に進めてください

インフォスティーラーは、利用者が便利さのために残したブラウザ保存や自動サインインと相性が良いです。そのため、まずは高権限者、財務、委託先、共有端末から、どこに Cookie と保存済み資格情報が残りやすいかを洗い出す必要があります。

端末管理、拡張機能の許可制、ローカル権限、持ち込み端末の扱いを一緒に見直すと、インフォスティーラーが届く面を物理的に減らせます。認証設計と端末設計を分けないことが重要です。

感染後は、端末駆除より先に認証情報事故として封じ込めるべきです

インフォスティーラーの初動では、マルウェアの削除とフォレンジックだけに集中しがちです。しかし実務では、感染端末で使われたアカウントのパスワード変更、セッション失効、MFA 再登録、関連端末確認を先に進める方が被害を止めやすくなります。

これは「感染した端末を直す」ではなく、感染端末から出た情報の価値をすぐに無効化するという発想です。インシデント対応の順番を誤ると、調査中に別の不正利用が進みます。

高リスクアカウントの異常利用を先に見ると、後続被害を早く見つけやすくなります

監視では、端末アラートと同じ重さで、高リスクアカウントのメール、SaaS、管理画面、共有ファイルの異常操作を見てください。インフォスティーラーの本体は端末にありますが、企業被害の本体は抜かれた後の利用にあります。

そのため、「感染端末が一台見つかった」だけで終わらせず、その端末で使われた全アカウントを横串で追う方が安全です。被害の広がり方をメールや設定変更から逆算すると、優先順位を決めやすくなります。

最後は、外から試されるログイン画面そのものを減らしてください

抜かれた情報は、最終的に外から触れるログイン画面へ投げられます。古いポータル、残存した検証環境、委託先向け入口、管理画面、サポート面が多いほど、インフォスティーラーの後続利用先も増えます。

したがって、インフォスティーラー対策は EDR と認証だけで完結しません。外部公開資産の棚卸しまで進めて、再利用される面そのものを減らすところまでが再発防止です。

インフォスティーラー対策で外部ログイン面を棚卸しするなら ASM診断 PRO

ASM診断 PRO はインフォスティーラー検知製品の代替ではありません。ただし、抜かれた Cookie や資格情報が最終的に試される公開ログイン画面、古いポータル、委託先導線、管理画面を外側から洗い出す入口として使えます。

外部導線を整理できると、「感染後にどこで悪用されやすいか」を優先順位付きで見やすくなります。EDR と認証だけで閉じず、試される面そのものを減らす判断へつなげてください。

とくに、委託先向けの入口、古いサポート画面、用途不明の管理 URL は、端末感染の後で見直すと重複や責任者不明が目立ちます。ASM診断 PRO で公開面を先に洗い出しておけば、「どのログイン面を先に閉じるか」「どの入口が高権限アカウントとつながっているか」を事故後でも整理しやすくなります。

インフォスティーラー対策は、端末で始まり、認証で広がり、最後は公開面の見直しで閉じます。ASM診断 PRO はその最後の部分、つまり外から試される入口を減らす判断の起点として使いやすい製品です。検知だけで終わらせず、悪用先を減らす運用までつなげてください。

事故後に公開面を洗い直すと、古いポータルや委託先向け入口が想像以上に残っていることがあります。ASM診断 PRO を平時から使っておくと、感染時の緊急棚卸しだけでなく、月次で入口を減らす運用にもつなげやすくなります。

よくある質問（FAQ）

インフォスティーラーとランサムウェアは同じですか？

同じではありません。ランサムウェアは暗号化や停止が主役ですが、インフォスティーラーは Cookie や保存済み資格情報などの持ち出しが主役です。ただし後続で別の被害へつながる点で重要です。

EDR を入れていれば十分ですか？

十分ではありません。EDR は重要ですが、感染後のパスワード変更、セッション失効、MFA 再登録、委託先通知まで一緒に回さないと、抜かれた情報の再利用は止まりません。

クレデンシャルスタッフィングとの違いは何ですか？

クレデンシャルスタッフィングは流出済み認証情報の再利用攻撃です。インフォスティーラーは、その流出を新たに作る側、つまり Cookie や保存済み資格情報を端末から盗む側が主役です。

感染端末が一台だけなら影響は限定的ですか？

限定的とは言えません。その端末でメール、SaaS、管理画面、共有ファイル、委託先ポータルを使っていれば、抜かれた情報が複数の業務面へ広がる可能性があります。

ASM診断 PRO はこのテーマでどう役立ちますか？

ASM診断 PRO はマルウェア検知製品ではありませんが、外から見えるログイン画面、古いポータル、委託先導線、管理画面を棚卸しし、インフォスティーラー後に試される公開面を減らす判断を支援できます。

まとめ

インフォスティーラーは、端末に入ったマルウェアというより、Cookie や保存済み資格情報を外へ出し、後続侵害へ渡す工程として見る方が実態に近いです。だからこそ、マルウェア駆除だけで事案を閉じると、認証情報再利用を止め切れません。

実務では、ブラウザ保存と端末管理を高リスク端末から締め直すこと、感染後は認証情報事故としてパスワード変更とセッション失効を一気に回すこと、そして抜かれた情報が試される外部ログイン画面を減らすことが重要です。端末、認証、公開面を同じ改善サイクルとして見直してください。

さらに、高権限者と委託先アカウントを一般利用者と同じ基準で扱わないことも欠かせません。被害の深さは感染台数より、どの権限が奪われるかで決まるからです。高リスクアカウントの端末ルール、連絡経路、再確認手順を別枠で整備すると、インフォスティーラーの後続被害をかなり短くできます。

最後は、抜かれた情報が試される公開ログイン面や古いポータルを減らし続けることが重要です。インフォスティーラー対策を EDR やパスワード変更だけで閉じず、外から見える入口の棚卸しまでつなげることで、同じ事故の再発防止が現実的になります。