macOS感染7000%激増、「28億件の認証情報」を盗み出す情報窃取型マルウェアの手口と対策
2025年のサイバー犯罪統計を分析した最新の報告書によると、ランサムウェアの被害者数は前年比45%増となっている。
しかしながら、最も注目すべきはその数字ではない。筆者が重要だと考えるのは、その背景にある盗まれた認証情報が主要な侵入手段として使われているという実態だ。どのプラットフォームを使っていようと、どのアカウントを守ろうとしていようと、パスワードセキュリティを真剣に考えるべき時期はとうに過ぎている。
サイバー脅威インテリジェンス企業のKELAが発表したレポート「State of Cybercrime 2026」では、漏洩した認証情報が少なくとも28億6000万件にのぼることが判明している。この中には、パスワードだけでなく、2FA(二要素認証)を迂回可能にするセッションクッキーも含まれている。驚くべきことに、これはビジネス向けクラウドサービスや認証サービスが、2025年に流出したデータ全体の30%以上を占めていた。さらにこの分析では、認証情報を窃取するインフォスティーラー(情報窃取型マルウェア)がOSを選ばないことも示された。報告書は「macOSデバイスでの感染は、2024年の1000件未満から2025年には7万件超へと増加し、7000%の伸びを記録した」と述べている。
■パスワードセキュリティ──クリックから認証情報の窃取へ
筆者はインフォスティーラーの脅威について、長年にわたり読者に警鐘を鳴らしてきた。漏洩したインフォスティーラーのログに含まれていた数百万件のGmailパスワード、盗まれたパスワードデータベースの背後にいる犯罪組織を摘発しようとするFBIの作戦──その事例は枚挙にいとまがない。しかし、KELAの分析が示すとおり、この脅威は衰えるどころか、年を追うごとに拡大の一途をたどっている。
KELAの説明によると、インフォスティーラーとは「侵害された端末から、ログイン認証情報、認証トークン、その他の重要なアカウント情報を含む機密データを外部に持ち出すよう設計された」マルウェアである。そして、MaaS(Malware-as-a-Service、サービスとしてのマルウェア提供)がインフォスティーラーの犯罪世界でほぼ普遍的に利用可能になった今、参入障壁は低くなったどころか、完全に取り払われた状態にある。
パスワードからパスキーに、積極的に切り替えるべきだ
KELAによれば、2025年1月1日から12月31日の間に、世界全体で約390万台の端末がインフォスティーラーに感染していることが確認され、合計3億4750万件の認証情報が窃取された。ただし、犯罪マーケットプレイスで流通するインフォスティーラーのログデータベースなど、あらゆる情報源を合わせると、KELAが追跡した漏洩認証情報の総数は28億6000万件に達する。
KELA報告書によると、2025年にインフォスティーラーが用いた主な手口は以下のとおりだ。
・メール、メッセージアプリ、AIで生成された個別化詐欺。PhaaS(Phishing-as-a-Service、サービスとしてのフィッシング提供)を利用してMFA(多要素認証)を突破するケースが多い
・いわゆる「自分で自分のパスワードをハックさせる」攻撃。ユーザーを騙して手動でスクリプトを実行させることで、従来のセキュリティツールによる検知を回避する手法である
・マルバタイジング(悪意ある広告)や検索結果の汚染。トロイの木馬化されたソフトウェアを配布し、感染率を高める
・汚染されたソフトウェアパッケージや開発者ツールへのなりすまし。サプライチェーン攻撃として高い権限を持つ認証情報を標的にする
・侵害されたブラウザ拡張機能のアップデートを通じたフォームグラビング(入力情報の傍受)やクッキーの窃取
・海賊版アプリや偽のソフトウェアアップデートも依然として有効な手口であった
被害者リストに名を連ねないために、以下の対策が推奨される。
・すべてのソフトウェアとOSを公式チャネルのみを通じて最新の状態に保つこと
・不審なメールやメッセージ内のリンクは、どれほど本物らしく見えても決してクリックしないこと
・パスワードマネージャーを使用して複数のアカウント間でパスワードを使い回さないようにし、1件の侵害が及ぼす影響を最小限に抑えること
・利用可能なすべてのアカウントで2FAを有効にし、パスワード窃取に対する追加の防御層を確保すること。ただし、セッションクッキーを窃取して2FA保護を迂回するインフォスティーラーは、いまや一般化しつつある
最終的な助言としては、パスワードの代わりにパスキーを使用できる場面では積極的に切り替えるべきである。パスキーは初期状態から強度が高く、フィッシングにも強い。さらに重要なのは、パスキーはランダムに生成され、サインインの過程で共有されることがなく、秘密鍵が端末の外に出ることもない点だ。そのため、通信の傍受や、本記事で取り上げたような情報窃取型マルウェアによって侵害されることは、ほぼ不可能だ。
