イスラエルのセキュリティ企業KELA（ケラ）は、同日、新たな脅威インテリジェンスレポート『Inside the Infostealer Epidemic: Exposing the Risks to Corporate Security』を発表した。
このレポートでは、情報窃取型マルウェア「インフォスティーラー」が、認証情報の流出とそれに伴うランサムウェア攻撃において果たす重要な役割について詳述している。

レポートによると、近年インフォスティーラーの活動は266％増加しており、2025年もその脅威は拡大傾向にある。
インフォスティーラーは、企業や個人の認証情報、個人データ、その他の機密情報を窃取するマルウェアであり、データ流出や不正アクセスといった深刻な被害の主因とされている。
KELAは300件以上の実例を分析し、特に「Play」「Akira」「Rhysida」といったランサムウェアグループと、インフォスティーラーに感染したアカウントとの間に関連が認められたケースがあったと報告。
これらのケースでは、被害者の認証情報がランサムウェア攻撃発生の5日から95日前にかけてサイバー犯罪市場で販売されていたことが確認されている。
平均的なタイムラグは約2.5週間だったという。
また、インフォスティーラーは「マルウェア・アズ・ア・サービス（MaaS）」のモデルを通じて流通しており、サイバー犯罪市場において高い人気を集めている。
KELAは、これらの認証情報がランサムウェアを含むさまざまなサイバー攻撃の侵入口として悪用されている実態を明らかにした。

調査では2024年7月から8月にかけて発生した300件の被害を対象に、被害者の職種と業種の傾向も分析された。
被害が多かった職種は、プロジェクトマネジメント職（28％）、コンサルティング職（12％）、ソフトウェア開発職（10.7％）であり、テクノロジー業界が最も標的とされていた。また、個人用パソコンが業務用端末よりも感染リスクが高く、窃取された認証情報の大半が現職社員に属するものであったことも判明した。

KELAの脅威インテリジェンスアナリストであるLin Levi（リン・レビ）氏は、「サイバー犯罪者が盗まれた認証情報を効率的に収益化し、地下市場が活性化している現状が明らかになった。組織は被害が発生する前に、認証情報の保護を含めた積極的な対策を講じる必要がある」と警鐘を鳴らしている。
さらに、サイバー犯罪市場では、従来のフォーラム型取引からサブスクリプション型や自動化されたマーケットへの移行が進み、認証情報の取引スピードと効率が大幅に向上している。
これにより、攻撃者は容易に窃取データを検索・購入・悪用することが可能になっているという。
KELAはインフォスティーラーによる脅威を軽減するため、組織に対して以下のような対策を推奨している。

・脅威の継続的なモニタリング
・アクセス管理の強化
・堅牢なエンドポイント保護の導入
・従業員に対するサイバーセキュリティ教育の徹底

KELAは、サイバー攻撃の入り口としてのインフォスティーラーの影響力を無視することはできないとし、企業に対し早急な対応を呼びかけている。

【参考記事】
https://www.kelacyber.com/