Web ブラウザから盗まれた Cookie は 930 億個:そのうちの 156億がアクティブだった

93+ Billion Stolen Users’ Cookies Flooded by Hackers on the Dark Web

2025/05/28 CyberSecurityNews — ダークウェブのマーケット・プレイスで流通している、937億件の Web ブラウザ Cookie 窃取に関する重大なサイバー犯罪活動を、セキュリティ研究者たちが発見した。この件数は、前年の調査結果から 74% 増加しているという。NordStellar 脅威エクスポージャー管理プラットフォームによる包括的な分析では、窃取された Cookie のうち 156億件以上が、依然としてアクティブであり、253の国々と地域における数百万人のユーザーに、セキュリティ・リスクが差し迫っていることが明らかになった。この調査では、高度な情報窃取マルウェアが、この大規模なデータ侵害の主な原因であると特定されている。

大規模 Cookie データ侵害の詳細

最も蔓延した脅威として浮上した Redline Stealer は、約 420億件の Cookie を収集している。しかし、マルウェアの攻撃範囲は広く、標的を絞り込むのが難しかったことで、アクティブな Cookie の測定値は僅か 6.2% に留まった。

もう一つの、MaaS (malware-as-a-service) である Vidar は、約 105億個の Cookie を収集したが、その中で有効だったものは 7.2% となる。その一方で、より新しい LummaC2 スティーラーは、88億個以上の Cookie を収集し、有効だったものは 6.5% となる。

特に懸念されるのは CryptBot であり、収集した Cookie が 14億個である一方で、83.4% という驚異的なアクティブ率を維持しており、データセットにおいては、最も効果的なマルウェアとなっている。

これらのマルウェア・ツールは、”document.cookie.split(‘;’)” などのメソッドを使用してブラウザの Cookie ストレージをスキャンし、セッション・データを抽出し、すべてを Command and Control (C2) サーバに送信する。その結果として、抽出から後数分以内に、盗まれたデータがダークウェブ・フォーラムに表示されることもある。

盗まれた Cookie には、従来からのセキュリティ対策を回避するための、重要な認証データが含まれている。

分析の結果として、”ID” というキーワードでタグ付けされた Cookie が 180億個/”Session” というラベルの付いた Cookie が 12億個/”auth” ラベル の Cookieが 2億7,290万個/”login” ラベルの Cookie が 6,120万個あることが判明した。

これらの Cookie は、セッション ID を取り込んだ、有効な Set-Cookie ヘッダーの再利用を可能にする。その結果として、パスワードや二要素認証を必要とすることなく、ユーザー・アカウントへの不正アクセスを許す、セッション・ハイジャック攻撃も可能になる。

今回の調査で分析されたデータセットの大部分は、Google サービスで占められており、Gmail/Google Drive などのプラットフォームにリンクされた、45億以上の侵害された Cookie が含まれている。それに続くのが、YouTube と Microsoft であり、10億以上の Cookie が含まれている。

Rhadamanthys のような、最新の情報窃取グループは、AI を活用した OCR 機能も取り込んでおり、感染したデバイスに保存されている画像から、暗号通貨のシードフレーズを抽出している。そのため、技術的な洗練度に関して言えば、単なるデータ窃取には留まらない。

グローバル規模で懸念される、すべてのプラットフォームへの影響

窃取された Cookie による攻撃対象としては、Windows デバイスが 85.9% を占めている。その一方で、132億個以上の Cookie が、他の OS や不明なソースから取得されている。

地理的分布を見ると、ブラジル/インド/インドネシア/米国が、最も影響を受けている地域である。その一方で、スペインなどのヨーロッパ諸国は、​​17億5000万個の Cookie 窃取に遭っている。英国は、僅か 8億個の Cookie 窃取となっているが、そのアクティブ率は 8.3%と高く、懸念される状況にある。

これらのアクティブ Cookie を悪用する攻撃者は、信頼できるはずのデバイスで多要素認証を回避していく。さらに、個人情報を用いる標的型フィッシング攻撃を開始し、そこで侵害した認証情報を悪用することで、ランサムウェア展開の可能性もあると、セキュリティ専門家たちは警告している。

マルウェアの配布方法には、正規ソフトウェア・ダウンロードの偽装/防御回避のための Microsoft MSI ファイルの悪用/海賊版ソフトウェアによる感染といった経路がある。

すべての組織と個人に対して強く推奨されるのは、定期的な Cookie クリアの実践や、エンドポイント検出ソリューションなどの利用により、進化する脅威の状況に対抗していくことだ。それに加えて、セキュリティ意識を向上させるための、最新トレーニングの維持の維持も推奨される。

Webブラウザから盗まれたクッキーの数が 930億件を超えたとのことですが、あまりに途方もない数字に驚かされます。便利だからとつい気軽に使ってしまいがちですが、こうした情報を守るための知識も大切なものなのですね。よろしければ、Cookie + Research で検索カテゴリ AuthN AuthZも、ご利用ください。