Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に

[本リリースは、2024年4月2日にKasperskyが発表したプレスリリースに基づき作成したものです]

KasperskyのDigital Footprint Intelligence部門がこのたび、闇市場で取引されている情報窃取型マルウェア（インフォスティーラー）のログファイルを収集し分析した結果、2023年に情報窃取型マルウェアに感染したデバイスは約977万台に上ることが明らかになりました^※1。サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で約3億2,590万件、ブラジル「.br」（2,880万件）、インド「.in」（820万件）、コロンビア「.co」（600万件）、ベトナム「.vn」（550万件）と続きます。日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました^※2。

当社の脅威モニタリングサービス「Kaspersky Digital Footprint Intelligence」のデータでは、2023年に情報窃取型マルウェアに感染した個人と企業のデバイス数は合わせて約977万台に上り、2020年の131万台から約7.4倍となりました。このデータは、闇市場で活発に取引されている、情報窃取型マルウェアのログファイルの動きに基づいており、当社では、そのようなログファイルを監視することで、企業のセキュリティ強化を支援しています。

図1：情報窃取型マルウェアによる感染を観測したデバイス数および推定数（2020年～2023年、データはKaspersky Digital Footprint Intelligenceより）

サイバー犯罪者は、感染後数カ月、あるいは数年後に窃取したアカウントを含むログファイルをダークネット上に投稿する可能性があるため、当社では実際の侵害日と投稿日の両方を追跡しています。2023年に確認したログファイルの数（感染件数）は2022年から約9%減少しました。これは、ログイン情報やパスワードに対するサイバー犯罪者の需要が停滞していることを意味するわけではありません。2023年に窃取された認証情報は今年ダークウェブ上に流出する可能性があり、Digital Footprint Intelligence部門の分析では、実際の感染件数は約977万件を上回り、約1,590万件に及ぶと予測しています。

2022年以前は、窃取されたログイン情報はすでにほとんどダークネット上に流出しているため、観測した感染件数と予測する感染件数との差は小さくなっています。

サイバー犯罪者が窃取するログイン情報は、感染させたデバイス1台につき平均で50.9件となっています。サイバー犯罪者は、こうした認証情報をサイバー攻撃など自らの悪意のある目的のために使用するか、またはダークウェブ上のフォーラムやTelegramの闇チャンネルで販売したり、評判を上げるために無料で配布することもあります。

これらの認証情報には、SNSやオンラインバンキングサービス、暗号通貨（クリプト）ウォレット、メールや社内システムなどの企業のオンラインサービスを利用するためのログイン情報が含まれている可能性があります。当社のデータでは、過去5年間で認証情報の漏えいが発生したウェブサイトは世界全体で44万3,000件に及んでいます。

2023年に情報窃取型マルウェアによって漏えいしたアカウントの件数を汎用トップレベルドメイン別で見ると、最も多かったのは「.com」でした。このドメインを持つウェブサイトから3億2,590万件近くのログインおよびパスワード情報が漏えいしています。2番目はブラジルの「.br」で2,880万件、インドの「.in」の820万件、コロンビアの「.co」の600万件、ベトナムの「.vn」の550万件と続きます。日本に関連する「.jp」は95万件のアカウントが漏えいしていました。

図2：ドメイン別の認証情報漏えい件数トップ5（2023年、対象はラテン文字の汎用トップレベルドメイン、データはKaspersky Digital Footprint Intelligenceより）

Kaspersky Digital Footprint Intelligence部門のエキスパート、セルゲイ・シェルベリ（Sergey Shcherbel）は次のように述べています。「ログイン情報を含むログファイルのダークウェブ上での価値は、そのデータの魅力と販売方法で決まります。認証情報は、定期的にアップロードされるサブスクリプションサービス（特定のリクエストに基づく『アグリゲータ』）や、新たに取得されたログイン情報を一部の買い手に独占的に販売する『ショップ』を通じて売られることもあります。こうしたショップでは通常、ログファイル1件につき10ドルから販売しています。個人も企業も、特に、大規模なオンラインユーザーを抱えている場合は警戒を怠らないことが極めて重要になります。漏えいした認証情報は、不正アクセスによる窃取やソーシャルエンジニアリング、なりすましなど、さまざまな攻撃の実行に使用される可能性があり、大きな脅威となります」

■ このような情報窃取型マルウェアから身を守るためには、個人の方はあらゆるデバイスに対応する包括的なセキュリティソリューションを使用することを推奨します。感染防止のみならず、感染の初期経路となる疑わしいウェブサイトやフィッシングメールなどをアラートで知らせ防御します。企業ではアカウントの侵害を特定するためにダークウェブ上のプロアクティブな監視が有効です。漏えいの有無をプロアクティブに監視し、例えばパスワードが漏えいした場合には、それを変更するよう速やかにユーザーに伝えることができます。

■ 情報窃取型マルウェアの脅威に関する調査詳細PDFは、「Fortify against (pass ****) leaks forever」（英語ページ）よりダウンロードしていただけます。また、お客様企業から流出したパスワードの有無について、当社の専門家がダークウェブ市場を分析し特定するサービスに関するリンクもあります。

■ 脅威モニタリングサービス「Digital Footprint Intelligence」詳細はこちらでご覧いただけます。

※1 分析では、公開されたログファイルの数を感染した数と見なしています。これらのログを詳細に調査し侵害されたアカウントを抽出します。マルウェアのログにユーザーアカウントが存在することは、そのユーザーのデバイスが感染していることを示しています。また、一つのログファイルは特定の一つのデバイスに対応していますが、そのデバイスで使用されているさまざまなリソースの複数のアカウントを含んでいる可能性があります。
※2 国別コードトップレベルドメイン（ccTLD）は一般的に、特定の国で使用するために予約されています。ただし、必ずしも特定の国に関連しないグローバルに展開するウェブサイトでも利用されることもあるため、この統計に影響する可能性があります。