Infostealers-as-a-Service の台頭:攻撃のスキルとコストを低減し成功率を劇的に高める

Infostealers-as-a-Service Push Identity Hacks to Record Highs

2025/07/08 hackread — ユーザーのログイン情報/個人情報を標的とするサイバー攻撃を 156% も急増させ、オフィス/リモート・ワーカーの双方に影響を及ぼす、高度なインフォスティーラー/フィッシング・ツールキットの台頭を、eSentire のサイバーセキュリティ研究者たちが指摘している。それらの攻撃者は、ログイン情報およびセッション・クッキーの窃取に注力しており、その先にある、Business Email Compromise (BEC) や暗号通貨窃盗といった金融犯罪につなげていると、eSentire のレポートは指摘している。

PhaaSInfostealers-as-a-Service の台頭

eSentire のレポート (PDF) によると、この急増の主因は PhaaS プラットフォームの普及にあるという。この PhaaS は、攻撃を仕掛けるために必要な技術的スキルおよびコストを著しく低減する。たとえば、Tycoon 2FA のようなプラットフォームは、Microsoft 365 や Google Workspace 向けのフィッシング・ページを、わずか $200〜$300/月額で提供している。

Typical Tycoon 2FA Campaign Structure (Source: eSentire)

これらのサービスは、高度な中間者攻撃 (AitM) 技術を用いて、認証プロセスを不正に中継することで、ログイン認証情報や認証トークンをリアルタイムで取得し、多くの場合において、多要素認証 (MFA) を数分以内で回避している。それに関連すると思われる BEC インシデントは、前年比で 60% も増加し、2025年 Q1 の全攻撃の 41% を占めるに至っている。

Typical Tycoon 2FA Campaign Structure (Source: eSentire)

800社以上の企業で 752,000件を超えるブラウザ・ベースのフィッシング攻撃が確認されており、前年比で 140% の増加であると、Menlo Security の最新ブラウザ・セキュリティ・レポートは指摘している。この事実が明らかにするのは、ブラウザが主要な標的となっていることである。

このトレンドに含まれるものには、2025年2月に登場したとされる、新興のインフォスティーラー Acreed がある。2025年5月に法執行機関が、別の著名なインフォスティーラー Lumma Stealer のインフラを破壊したが、その後のダーク・オンライン市場で、Acreed が勢力を強めているという。

オンライン ID 保護の重要性

自力による無計画な攻撃から、サービスを用いた体系的な攻撃への急速な移行は、認証情報の窃取から詐欺実行までを、数時間以内で完結させるという、いまの犯罪者たちの手腕を反映するものだ。確認された PhaaS 攻撃の 78%は 米国から発信されているが、多くの場合においてホスティング拠点を示しており、攻撃者たちの実際の拠点は別の所にある。

このような、グルーバル化する脅威に対抗する上で、組織/個人ユーザーに強く推奨されるのは、サイバー・セキュリティ体制の強化である。その手段として実践すべきは、フィッシング耐性のある認証方式の導入/異常なログイン試行またはコンフィグ変更への継続的監視/迷惑メールおよび添付ファイルへの警戒である。これらのID ベースの攻撃の迅速性および巧妙性を前提とすると、プロアクティブな防御策の導入が、これまで以上に重要になってくる。

Ontinue の Senior SOC Analyst である Will Bailey は、「このレポートは、Ontinue のサイバー・ディフェンス・センターが、これまでの1年間で観察した傾向を、的確に反映している。Tycoon 2FA のような PhaaS プラットフォームを基盤とする、収益性の高いアンダーグラウンド経済圏の台頭により、スキルの低い脅威アクターであっても、技術的な脆弱性を利用せずに、初期アクセスを取得できるようになっている」と述べている。

さらに彼は、「その結果として、フィッシングおよび ID ベースの攻撃は、攻撃者と防御者の間で永続的なイタチごっこを生み出している。それが示すのは、ID 脅威検知/対応機能を備えた Managed Detection and Response (MDR) サービスを 24時間 365日体制で導入し、セッション・トークンを失効させ、アクティブ・セッションをリアルタイムで終了させる能力を、手にすることの重要性である」と付け加えている。

ログイン情報やセッション・クッキーを狙う攻撃が急増しています。PhaaS や Infostealerといった、サービス化された攻撃手法の登場により、技術に詳しくない攻撃者であっても、容易に侵害を成功させると、この記事は指摘しています。よろしければ、PhaaS で検索と、Info Stealer で検索も、ご参照ください。