多要素認証(MFA)を導入していれば安全——その前提が崩壊しつつある。2026年2月にFlareが公開した調査では、Infostealer感染の5件に1件がエンタープライズ認証情報を暴露する見通しが示された。攻撃者はセッションCookieを窃取することでMFAを完全にバイパスし、正規ユーザーとして企業システムに侵入する。本稿ではInfostealerによるCookie窃取の技術的メカニズム、実際の侵害事例、そしてトークンバインディングやデバイス認証強化による防御アーキテクチャを解説する。

Infostealer感染の規模と企業認証情報の暴露

Infostealerは2024年以降、サイバー攻撃における最大の脅威ベクターとなった。Huntressの報告によれば、2024年のサイバーインシデントの24%がInfostealerに起因しており、4件に1件の攻撃がこのマルウェアファミリーに遡る。SpyCloudが2025年3月に公開したレポートでは、2024年に533億件の個人識別情報が犯罪者のアンダーグラウンドで流通し、そのうち5億4,800万件の認証情報がInfostealerマルウェアによって窃取されたことが明らかになった。

Infostealer市場はMaaS(Malware-as-a-Service)モデルで産業化が進んでいる。Lumma(LummaC2)は2025年時点でInfostealer市場の約43〜50%のシェアを占め、月額200〜600ドルのサブスクリプションで提供されている。RedLine、StealC、Vidar、RiseProといったファミリーが後に続き、いずれも低コストで高い窃取能力を持つ。1回の感染で平均44件の認証情報と1,861件のCookieが窃取されるという規模感は、従来のフィッシング攻撃とは次元が異なる。

とりわけ深刻なのは、企業認証情報の暴露率が急速に上昇している点である。Flareが2026年2月2日に公開した調査では、2025年に収集された1,870万件のInfostealerログを分析した結果、エンタープライズSSO・IdP認証情報を含む感染が14%に達したことが判明した。2024年初頭の約6%から倍増しており、2026年第3四半期までに20%(5件に1件)に達するとの見通しが示されている。注目すべきは、Infostealer感染の総数は前年比20%減少しているにもかかわらず、企業認証情報の暴露率は増加している点である。攻撃者がボリューム型攻撃から高価値の企業標的へとシフトしていることを示唆する。

セッションCookie窃取によるMFAバイパスのメカニズム

MFAバイパスの核心は、認証フロー完了後に発行されるセッションCookieにある。ユーザーがパスワードとMFA(TOTP、プッシュ通知等)による多段階認証を完了すると、ブラウザは認証済みセッションCookieを受け取る。このCookieは通常30日以上有効であり、以降のリクエストではMFAチャレンジが発生しない。攻撃者がこのCookieを窃取すれば、パスワードもMFAトークンも不要で、正規ユーザーとしてシステムにアクセスできる。

Infostealerは、ブラウザのSQLiteデータベースから暗号化されたCookieを自動的に抽出する。WindowsではDPAPI(Data Protection API)、macOSではシステムキーチェーンで暗号化されているが、感染端末上では暗号鍵も同時に取得可能であるため、復号は容易である。Flareの調査では、117万件のログが企業認証情報とセッションCookieの両方を含んでおり、これらは即座にMFAバイパスに利用可能な状態にある。

Cookieの窃取以外にも、Adversary-in-the-Middle(AiTM)攻撃がMFAバイパスの主要な手法として台頭している。Evilginx、Modlishka、Muraeaといったリバースプロキシツールは、正規のSSOログインページを中継し、ユーザーが入力した認証情報とMFAトークン、そして認証完了後に発行されるセッションCookieをリアルタイムで傍受する。Microsoftの報告によれば、AiTMインシデントは1日あたり39,000件に達し、前年比146%増加している。

実際の侵害事例に見る構造的欠陥

セッションCookie窃取による企業侵害は理論上の脅威ではなく、すでに実証された攻撃パターンである。以下に主要な事例を示す。

Okta サポートシステム侵害(2023年10月)——攻撃者は窃取した認証情報でOktaのサポートケース管理システムにアクセスした。サポート担当者がトラブルシューティング用に生成したHARファイル(HTTPアーカイブ)にはAPIリクエストと有効なセッションCookieが含まれており、攻撃者はHARファイルアップロードからわずか30分後にCookieを抽出。MFAを経ることなく顧客ネットワークにアクセスした。最終的に18,400件のOkta顧客のサポートユーザー情報が暴露された。

EA Games データ窃取(2021年)——攻撃者はダークウェブマーケットプレイス「Genesis」からEAのSlackチャネルに紐づくセッションCookieをわずか10ドルで購入した。このCookieを使用してSlackに侵入し、IT部門に「電話を紛失した」と連絡してMFAバイパスを成立させた。最終的にFrostBiteエンジンやFIFA 21のソースコードを含む780GBのデータが流出した。

Microsoft Entra ID 連続インシデント(2024〜2025年)——2024年1月に公表されたMidnight Blizzard(APT29)による攻撃では、MFA未設定のレガシーテスト用テナントへのパスワードスプレーを足がかりに、OAuth認証アプリケーションを悪用して経営幹部のメールにアクセスした。2025年4月にはAzure Entra IDの認証Cookie 2種を標的としたCookie-Bite攻撃が確認され、2025年9月にはCVE-2025-55241(CVSSスコア10.0)として、未署名のレガシー「アクタートークン」を悪用した任意テナントのグローバル管理者権限奪取が報告された。いずれもMFAは迂回されている。

防御アーキテクチャ:トークンバインディングとデバイス認証強化

セッションCookie窃取に対する根本的な防御は、Cookieをデバイスに暗号学的にバインドし、窃取されたCookieを別のデバイスで使用不可能にすることである。現在、複数の技術標準とプラットフォーム実装が進行している。

Device Bound Session Credentials(DBSC)——Googleが2024年4月にプロトタイプを公開し、2025年にオープンベータとなった技術である。セッションCookieをデバイスのTPM(Trusted Platform Module)に格納された秘密鍵にバインドする。セッション確立時にデバイス固有の公開鍵暗号による検証が行われるため、Cookieが別のデバイスにコピーされても使用できない。2025年10月〜2026年2月にかけてChromeでの第2次オリジントライアルが実施されている。Pass-the-Cookie攻撃を原理的に無効化する技術として注目されるが、TPM搭載デバイスに限定される点が現時点での制約である。

DPoP(Demonstrating Proof-of-Possession)——IETF RFC 9449として標準化されたOAuth 2.0のトークンバインディング機構である。クライアントが公開鍵・秘密鍵ペアを生成し、アクセストークンをクライアントの鍵に暗号学的にバインドする。トークンを使用する各リクエストには秘密鍵で署名されたDPoP証明が必要となるため、トークンが単独で窃取されても再利用できない。FAPI 2.0やオープンバンキングでの採用が進んでいる。

Continuous Access Evaluation(CAE)——Microsoftが2024年9月からMicrosoft 365管理センターに展開した継続的アクセス評価機構である。パスワードリセット、アカウント無効化、リスク上昇、位置情報変更といった重要イベントを監視し、トークンの有効期限を待たずにリアルタイムで再認証を要求する。Cookie窃取自体を防止する技術ではないが、不正アクセスの検知と即座のセッション無効化により被害範囲を限定する。

FIDO2/WebAuthn——フィッシング耐性のある認証として最も成熟した技術である。認証情報はドメインに暗号学的にバインドされるため、Evilginxのようなリバースプロキシによるリアルタイムフィッシングでも認証情報の傍受が不可能である。Googleは85,000人以上の従業員にハードウェアセキュリティキーを展開し、フィッシング攻撃の成功率をゼロにしたと報告している。ただし、FIDO2はログイン時の認証を保護するものであり、認証完了後のセッション保護にはDBSCやDPoPとの組み合わせが必要である。

エンタープライズ認証の構造的欠陥と今後の展望

現在のエンタープライズ認証アーキテクチャには、構造的な欠陥が3つ存在する。第一に、MFAは認証時の検証に特化しており、認証完了後に発行されるセッショントークンの保護は範囲外である。第二に、セッションCookieの有効期間が長く(多くの場合30日以上)、その間は再認証が要求されない。第三に、トークンがデバイスにバインドされていないため、窃取されたCookieは任意のデバイスで利用可能である。

これらの欠陥に対し、防御側のテクノロジースタックは進化しつつある。短期的にはCAEによる継続的セッション評価とFIDO2/パスキーによるフィッシング耐性認証の導入、中期的にはDBSCとDPoPによるトークンのデバイスバインディング、長期的にはゼロトラストアーキテクチャにおける継続的認証(行動バイオメトリクス、デバイスヘルスチェック、リスクベースアクセス制御の統合)が求められる。

Infostealer感染の総数は減少傾向にあるものの、攻撃の高度化と企業標的への集中は加速している。SpyCloudのデータによれば、ランサムウェア被害者の約3分の1が事前にInfostealer感染を経験しており、InfostealerはAPTグループの初期アクセス獲得における重要な供給源となっている。MFAの導入だけで認証セキュリティが完結するという認識は、もはや危険な幻想である。セッション層の保護を含む多層防御アーキテクチャへの移行が急務である。

FAQ

InfostealerはどのようにしてMFAをバイパスするのか?

Infostealerは、ユーザーがMFA認証を完了した後にブラウザに保存されるセッションCookieを窃取する。攻撃者はこのCookieを自身のブラウザにインポートすることで、パスワードやMFAトークンを入力することなく、認証済みセッションとしてシステムにアクセスできる。MFAは認証時の保護であり、認証後のセッション保護は範囲外であるため、この攻撃が成立する。

Device Bound Session Credentials(DBSC)とは何か?

Googleが開発中のセッション保護技術で、セッションCookieをデバイスのTPMに格納された秘密鍵に暗号学的にバインドする。これにより、Cookieが別のデバイスにコピーされても使用不可能となり、Pass-the-Cookie攻撃を原理的に無効化する。2025年時点でChromeのオープンベータとして提供されている。

企業がInfostealer対策として今すぐ実施すべきことは何か?

優先度の高い対策として、FIDO2/パスキーによるフィッシング耐性認証の導入、Continuous Access Evaluation(CAE)の有効化、セッションCookieの有効期間短縮、エンドポイント保護の強化(EDR導入とInfostealer検知ルールの追加)がある。中期的にはDBSCやDPoPによるトークンバインディングの導入を計画すべきである。

Infostealerの感染経路として最も多いものは何か?

フィッシングメールが最大の感染経路であり、IBMの報告によればInfostealer配布を目的としたフィッシングメールは前年比84%増加している。その他、不正ソフトウェアのダウンロード、マルバタイジング(悪意ある広告)、ソーシャルメディア経由の配布も主要な経路である。

参考文献