Flare社の最新レポートによれば、2025年の1,870万件のInfostealerログを分析した結果、10件に1件以上の感染がすでに企業のSSO(シングルサインオン)またはIdP(アイデンティティプロバイダー)認証情報を含んでいることが判明した。さらに憂慮すべきは、この比率が急速に上昇していることである。本稿では、Infostealer-to-SSO攻撃チェーンの実態と防御策を解説する。

エンタープライズ認証情報漏洩の現状

2025年だけで、205万件のInfostealerログがエンタープライズアイデンティティ認証情報を暴露した。これにより、攻撃者は企業メール、クラウドインフラ、SaaSプラットフォーム、内部システムへの潜在的なアクセス手段を獲得している。

2025年後半の予備データでは、エンタープライズアイデンティティの露出が感染全体の16%に急増しており、モデル予測を大幅に上回っている。Flare研究者は、このトレンドが継続すれば、2026年第3四半期には5件に1件(20%)のInfostealer感染がエンタープライズ認証情報を暴露する可能性があると警告している。

注目すべきは、Infostealer感染の総数は前年比20%減少しているにもかかわらず、エンタープライズアイデンティティの露出は増加し続けていることである。これは攻撃者の経済学における構造的変化を示している。感染数は減少しても、侵害が発生した際のインパクトは格段に大きくなっている。

Microsoft Entra IDの圧倒的標的化

エンタープライズアイデンティティログの79%にMicrosoft Entra ID(旧Azure AD)が出現しており、最も影響を受けているアイデンティティプロバイダーとなっている。これは、Microsoft 365とAzureの企業採用率の高さを反映している。

さらに深刻なのは、117万件のログがエンタープライズ認証情報とセッションCookieの両方を含んでいたことである。これにより、攻撃者は即座にアクセスを取得でき、MFA(多要素認証)をバイパスする可能性がある。セッションCookieは認証済みセッションを再現できるため、パスワードやMFAコードを知らなくても正規ユーザーとしてシステムにアクセスできる。

2022年のLAPSUS$によるOkta侵害事件では、RedLine Stealerを使用してパスワードとセッショントークンを取得し、ダークウェブマーケットプレイスからも認証情報を購入していた。この攻撃により、Oktaの約2.5%の顧客が潜在的な影響を受けた。

攻撃チェーンの進化

Infostealer-to-SSO攻撃チェーンは、従来のフィッシングやクレデンシャルスタッフィングとは異なるアプローチを取る。まず、マルウェアがエンドポイントに感染し、ブラウザに保存された認証情報、セッションCookie、自動入力データを収集する。

次に、収集されたデータはログとしてダークウェブで販売される。攻撃者はこれらのログを購入し、有効なエンタープライズ認証情報を特定する。SSO認証情報が含まれている場合、単一のエントリーポイントから複数のSaaSアプリケーションや内部システムにアクセスできる可能性がある。

Scattered Spiderグループは、この攻撃チェーンを活用してMGMリゾーツを侵害した。Okta認証を通じてAzureのグローバル管理者権限を取得し、接続されたシステムの完全な制御を獲得した。これは、単一のアイデンティティ侵害が組織全体への侵入につながる危険性を示している。

クレデンシャルスタッフィングの併用

Infostealerから得られた認証情報は、クレデンシャルスタッフィング攻撃でも再利用される。Okta Identity Threat Researchチームは2024年4月に、ユーザーアカウントに対するクレデンシャルスタッフィング活動の急増を観測した。Akamaiのレポートによれば、グローバルなログイン試行の40%以上がボット駆動のクレデンシャルスタッフィング攻撃による悪意のあるものである。

Verizon Data Breach Investigations Reportは、データ侵害の81%が盗まれたまたは弱い認証情報を使用したと報告している。また、51%のデータ侵害がなんらかの形でクレデンシャルスティーリングマルウェアを含んでいた。これらの統計は、認証情報保護がセキュリティ戦略の最優先事項であるべきことを示している。

防御策と推奨事項

Infostealer-to-SSO攻撃に対する防御は多層的なアプローチを必要とする。第一に、エンドポイント保護の強化である。EDR(Endpoint Detection and Response)ソリューションを導入し、Infostealerマルウェアの検出と除去を迅速に行う。

第二に、セッション管理の厳格化である。セッションの有効期限を短縮し、異常なセッション活動を監視する。セッションCookieの盗難が検出された場合、即座にセッションを無効化するメカニズムを実装する。

第三に、継続的なアイデンティティ監視である。ダークウェブとInfostealerログマーケットプレイスを監視し、自社の認証情報が漏洩していないかを確認する。漏洩が検出された場合、速やかにパスワードリセットとセッション無効化を実施する。

第四に、FIDO2/パスキーの採用である。パスワードレス認証への移行は、Infostealerから得られる情報の価値を大幅に低下させる。セッションCookieの盗難リスクは残るが、初期侵入のハードルを高められる。

FAQ

MFAを導入していれば安全ですか?

MFAは重要な防御層だが、セッションCookieの盗難によりバイパスされる可能性がある。セッション管理の強化と継続的な監視を併用する必要がある。

Infostealerはどのように感染しますか?

主な感染経路は、マルウェア入りのソフトウェアダウンロード、フィッシングメールの添付ファイル、悪意のあるWebサイトからのドライブバイダウンロードである。

自社の認証情報が漏洩したかどうか確認できますか?

Flare、SpyCloud、Hudson Rockなどのサービスは、Infostealerログを監視し、エンタープライズ認証情報の漏洩を検出するサービスを提供している。

SSOは使うべきではないのですか?

SSOは正しく実装されれば、パスワード管理の負担を軽減し、セキュリティを向上させる。問題はSSOそのものではなく、認証情報とセッションの保護にある。

参考文献