イスラエルのセキュリティ企業KELAは、最新の報告書「Inside the Infostealer Epidemic: Exposing the Risks to Corporate Security」を発表し、情報窃取型マルウェア(インフォスティーラー)とランサムウェアによりサイバー攻撃の展開が加速していると指摘した。
報告書では、300件以上のサイバー攻撃による被害事例を分析。インフォスティーラーは、認証情報や個人データ、その他の機密情報を窃取するもので、個人情報の盗難や不正行為など多くのデータ侵害の主な要因となっており、同社はその活動が266%も急増しているとした。
さらに、インフォスティーラーに感染したアカウントと「Play」「Akira」「Rhysida」などのランサムウェアグループとの関連性も疑われ、複数のケースにおいて、これらランサムウェアの被害者の認証情報が、攻撃が報告される5~95日前にサイバー犯罪市場で販売されていたことを確認したという。インフォスティーラーによって窃取された認証情報とランサムウェア感染との潜在的な関連性があると見られ、平均的なタイムラグは約2.5週間であることも分かった。
同社は、インフォスティーラーが認証情報の窃取を自動化するマルウェアとして急速に人気を高め、サイバー犯罪市場のマルウェア・アズ・ア・サービスを通じて販売されており、窃取された認証情報がランサムウェアを含むさまざまなサイバー攻撃の侵入に用いられていると指摘する。
また、2024年7~8月に確認された300件のインフォスティーラーの被害者について調べたところ、特に被害の多い職種は、プロジェクトマネジメント(28%)、コンサルティング(12%)、ソフトウェア開発(10.7%)で、特にテクノロジー業界が最も標的となっているとする。業務用端末よりも個人用PCの方が感染リスクは高いとし、窃取された認証情報の大半が現職の社員のものであったことも判明したという。
報告書で同社脅威インテリジェンスアナリストのLin Levi氏は、調査からサイバー犯罪者らが窃取した認証情報を効率的にマネタイズし、活発な地下市場を築いている実態が明らかになったとし、「組織は侵害やランサムウェア攻撃へと発展する前に、認証情報のセキュリティ強化などの積極的な対策を優先的に講じる必要がある」と述べている。
さらに、サイバー犯罪市場ではサイバー犯罪者らの取引がフォーラムを通じたものからサブスクリプション型に移行しており、これによって窃取された認証情報の取引スピードと効率が大幅に向上し、犯罪者や攻撃者が容易に窃取データを検索して認証情報を購入し、それを悪用することができるようになっていると指摘している。
