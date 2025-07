ClickFixは、クリップボードに悪意あるコマンドを強制的に挿入させる。画像のような「あなたが人間かどうか確認します」という表示を悪用し、不審なコマンドの実行に繋がる攻撃手法が大流行している(画像:マクニカ提供)

【図で見る】ClickFixの一例。「I'm not a robot」のチェックボックスをクリックすると、クリックボードに不正なコマンドがコピーされる

昨今、証券口座への不正アクセス事案が急増する理由の大きな要素として「フィッシングによる攻撃」が挙げられています。しかし、フィッシングサイトを経由せずとも個人や企業が保有する貴重な情報を“根こそぎ”盗むマルウェア「Infostealer」についても、最大級の警戒が必要です。今回は「Infostealer」について解説しましょう。

あらゆる情報を盗みだす「Infostealer」とは

証券口座への不正アクセス事案は、フィッシング攻撃によるものが多数を占めると考えられています。しかし中には、フィッシングサイトにはアクセスしておらず、IDやパスワードは常にブラウザの自動入力機能を使っていたなど、フィッシング被害ではないと考えられるケースも報告されています。



フィッシング以外の被害原因としてわれわれが考えているのが、以前から“情報窃取に特化したマルウェア”として危険視されてきた「Infostealer」です。Webサイトやメール経由でPCに感染し、ログインID/パスワードといった認証情報だけでなく、PCに保管されているさまざまな情報を根こそぎ盗んでいくため、今回の証券口座への不正アクセス事案でも利用されている可能性が高いと考えています。

Infostealerの感染源は、受信メール内の添付ファイルやリンク先にあるファイルなどをはじめ、危険なWebサイトからダウンロードしたファイル、後述する「ClickFix」と呼ばれる手法を利用したものまで多岐にわたります。ほかにも、著名なゲーム配信プラットフォーム、SNSメッセージ、偽アップデートファイル、海賊版ソフトまで、さまざまな感染ルートが報告されています。



Infostealerの感染源(画像:マクニカ提供)

感染すると、こちらの記事で紹介したように情報が盗まれます。またInfostealerには、感染後にPCに常駐して情報を盗み続けるタイプと、1度情報を盗んだ後に自己消去して感染の証拠をなくすタイプの2種類があります。

2024年には合計3億3000万以上の資格情報が侵害

Infostealerが大きなトレンドであることは、セキュリティベンダーの報告からも明らかです。例えば、イスラエルの脅威インテリジェンスベンダー「KELA」が2025年4月に公表したレポート「Inside the Infostealer Epidemic: Exposing the Risks to Corporate Security」では、Infostealerの活動は昨年と比較して266%と急増しており、2024年には世界中で430万台以上のマシンがInfostealerに感染、合計で3億3000万以上の資格情報が侵害されたと報告されています。

その他の様々なセキュリティベンダーからも“情報窃取が目的のマルウェア”被害が急増している報告が2023年頃から相次いで発表されています。

また、Infostealerによるものかは不明ですが、認証情報の漏洩により発生したインシデントは日系企業からも数多く報告されはじめています。2020年以降にプレスリリースを出した433件の日系企業のランサムウェア被害において、2024年には調査全体の約20%で認証情報が悪用されていることが確認できており、この割合は年々増加してきています(マクニカ調査)。



(画像:マクニカ提供)

Infostealer経由で窃取した情報は、様々なサイバー攻撃や犯罪に転用が可能であり、まさに金の卵を生むマルウェアです。非常に大きい成果に繋がるためか、新種のInfostealerが次々と開発されているようです。対応OSもWindowsからLinux、MacOSと幅を広げ、課金次第で様々な新機能が利用可能など、攻撃者界隈でも注目されていることがわかります。

一方で防御側の視点では、不正アクセスにつながった認証情報の漏洩の原因がInfostealerだと特定できるケースは極めて稀であり、そのせいで未だに警戒が高まっていません。しかし、Infostealerは今後長年にわたり様々なインシデントの原因になると考えられるマルウェアなので、本来は最大限の注意が必要なのです。

PC利用者に違和感なくコマンド実行させる「ClickFix」

ここで、Infostealerの感染起点の1つである「ClickFix」という手法を紹介します。ClickFixは、Webページを見たPCのクリップボードに悪質なコマンドを挿入し、利用者自身に実行させる手法です。なおクリップボードとは、PC上でテキストや画像などをコピー&ペーストする際に一時的に保存しておく領域のことです。

ClickFixは、クリップボードに悪意あるコマンドを強制的に挿入させます。例えば、アクセスしたのが人間かボットプログラムかを判断するために「あなたが人間かどうか確認します」という表示を見たことがある人は多いでしょう。代表的にはこの表示が悪用されて不審なコマンドの実行に繋がる攻撃手法が大流行しています。



(画像:マクニカ提供)

上記のような画面上の操作指示に従う過程で、悪意あるコマンドを被害者自らに実行させ、最終的にInfostealerに感染させるのです。操作を求める口実としては「人間かどうかの確認」以外に、「ウイルス除去」や「PCのエラー解消」「情報閲覧のため」など様々です。

「Windows+R」( =“ファイル名を指定して実行”)を押してコマンドを実行させるものに加え、ファイルエクスプローラーのアドレスバーにコマンドを入力させるパターンも出現してきています。

Infostealerはシンプルな手法ながら、ランサムウェア被害につながる攻撃として使われるだけでなく、国家ぐるみの高度な攻撃グループまでもが悪用する、非常に危険な脅威の1つです。

しかし、PCを操作する人自身に不審な操作をした自覚を与えないため、注意喚起が非常に難しいのも厄介な点です。流行の手口は変化する可能性もありますが、Webページのどこかをクリックする指示のあとに、何らかのキーボード操作の指示(Windows+RやX、Ctrl+VやL 、Enterなど)が出たら注意してください。

私用PCから、社内システムへの認証情報が盗まれる

Infostealerの感染シナリオについては、意外なケースが相次いで報告されています。最近では、社用PCと私用PCの双方でGoogleのサービスを利用する人が増えていますが、個人のGoogleアカウントで双方のPCにログインしていると、ブックマークや閲覧履歴とともに、認証情報がChromeなどのブラウザ内に保管され、双方のPCに情報が同期されることがあります。

この機能が原因で発生するのが、社用PC内に閉じられている社内システムにアクセスするための認証情報が、私用PCに同期されていて、そこにInfostealerが侵入して認証情報が窃取されるというシナリオです。



(画像:マクニカ提供)

海外の大手テック企業をはじめ、日本企業でもインシデントが確認されており、注意が必要なシナリオとして頭に入れておきたいところです。社用PCで個人アカウントにログインするのは制限しておくのが望ましいでしょう。

ダークウェブを覗くと、かなり詳細な情報の売買が…

マクニカでは日常的にダークウェブを調査していますが、ダークウェブ上では企業から窃取したと思われるさまざまな情報がビジネスとして販売されていることがよくわかります。

特に証券口座の不正アクセスに利用可能なものでいえば、ログイン先のURLはもちろん、ログインID/パスワード、取引に必要な暗証番号など、かなり詳細な情報が売買されており、この情報を入手することで証券口座への不正アクセスが可能になってしまうわけです。

マクニカとKELA社が共同で調査した結果では、2025年7月18日時点で国内の証券会社17社分で約14.8万件の認証情報が漏洩しています。また、残念ながら漏洩しているのは証券会社の情報だけではなく、世の中で公開されている非常に多くのWebサービスの認証情報が、利用者PCがInfostealerに感染することで漏洩していることもわかっています。

今回は、情報を盗む目的として猛威を振るっているInfostealerの基本とともに、ダークウェブ上での実態について解説しました。次回は、フィッシングとInfostealerへの対策をまとめて考えていきます。

(瀬治山 豊 : マクニカ セキュリティ研究センター センター長補佐)