2026年初頭、アンダーグラウンドのサイバー犯罪フォーラムに「Storm」と名乗る新型インフォスティーラーが登場した。月額1,000ドル以下というサブスクリプション型で提供されるこのマルウェアは、これまでのクレデンシャル窃取型マルウェアとは一線を画す設計思想を持っている。単なる亜種ではなく、エンドポイントセキュリティの進化に対してマルウェア側が「回答」を出してきた事例として、IT管理者は真剣に向き合う必要がある。

なぜ「サーバー側復号」が危険なのか

従来のインフォスティーラーは、被害者のマシン上でブラウザの認証情報データベース(SQLite)に直接アクセスし、ローカルで復号を行っていた。このアプローチはエンドポイントセキュリティツールに検知されやすく、「ブラウザDBへの不審なアクセス」がシグネチャとして広く知られるようになっていた。

Googleが2024年7月にChrome 127でApp-Bound Encryption(アプリ紐付き暗号化)を導入したことで、ローカル復号はさらに困難になった。しかし攻撃者はこれに対して「ローカルでの復号をやめる」という発想の転換で応じた。

Stormが採用したのは、暗号化されたままのブラウザデータを攻撃者のサーバーに送り、そこで復号するというアーキテクチャだ。エンドポイント側では「暗号化ファイルの転送」しか発生しないため、多くの既存ツールが依存するテレメトリデータが生成されない。ChromiumベースのブラウザだけでなくFirefox、Waterfox、Pale MoonなどGeckoエンジン系も対象にしている点も、より広範な被害を可能にしている。

MFAを無力化するセッションハイジャック

Stormが収集するのはパスワードだけではない。セッションクッキー、Googleアカウントトークン、オートフィルデータ、クレジットカード情報、閲覧履歴など、「認証済みセッションを完全再現する」のに必要なものすべてが標的だ。

さらに、収集後の操作を自動化している点が際立っている。Google Refresh TokenとSOCKS5プロキシを組み合わせることで、被害者の認証済みセッションをオペレーターのパネル上でそのまま「復元」できる。パスワードを一切使わず、MFAの検証をスキップして、SaaSツールや社内システム、クラウド環境に侵入できる。

セキュリティリサーチャーのVaronisが以前に公開した「Cookie-Bite」の研究では、Azure Entra IDのセッションクッキーを窃取することでMFAが意味をなさなくなる実態が示されていた。Stormはそのテクニックをサブスクリプション機能として「製品化」したものと見てよい。

収集範囲とインフラ設計

Stormはブラウザ以外にも触手を伸ばしている。Telegram、Signal、Discordのセッションデータ、仮想通貨ウォレット(ブラウザ拡張・デスクトップアプリ両対応)、複数モニターのスクリーンショット、システム情報を含む。処理はすべてメモリ上で実行されるため、ディスクへの痕跡が残りにくい。

インフラ面では、オペレーターが独自のVPS(仮想プライベートサーバー)をStormの中央サーバーに接続する構成を採る。窃取データが共有インフラを経由しないため、法執行機関や不正利用申告があっても中央サーバーへの影響を局所化できる設計だ。

実務への影響

このような脅威に対して、日本のIT管理者・エンジニアが今すぐ見直すべきポイントを整理する。

セッション管理の強化:セッショントークンの有効期間を短く設定し、IPアドレスや地理情報の変化を検知した際に再認証を強制するポリシーを導入する。Conditional Access(条件付きアクセス)でデバイスコンプライアンスを要件にすることも有効だ。

エンドポイント検知だけに頼らない:Stormはエンドポイント側のシグネチャ検知を意識的に回避する設計になっている。ネットワーク層での異常な外部通信の監視、ユーザー行動分析(UEBA)など、多層防御の実践が欠かせない。

フィッシング耐性の高い認証への移行:FIDO2/パスキーはセッションクッキーではなくデバイス紐付きの認証を行うため、クッキー窃取型攻撃に対して本質的に強い。移行コストはあるが、MFAの「次の一手」として優先度を上げるべきだ。

ユーザーディレクトリへのファイルアクセス制限:Stormはドキュメントフォルダも標的にする。機密ファイルを個人の作業領域に放置しない運用、DLPポリシーの見直しも並行して行いたい。

筆者の見解

Stormが示す最大の教訓は、「セキュリティ機能を強化するとマルウェアが設計を変えて回避してくる」というイタチごっこが加速していることだ。GoogleのApp-Bound Encryptionは正しい取り組みだったが、攻撃者は「ローカルで戦わない」という選択肢に移行した。これはセキュリティ対策が無意味だという話ではなく、対策の層を増やすことでそのたびに攻撃コストが上がるという構造をしっかり理解した上で設計する必要があるということだ。

ゼロトラストの観点からすると、今回の手口はまさに「認証済みセッション=信頼」という前提を崩してくる攻撃だ。ネットワークに入れたからといって、その後のアクセスを無条件に信頼するアーキテクチャは限界を迎えている。セッション継続性そのものを検証し続ける仕組み——IPの変化、デバイス状態の変化、アクセスパターンの異常——を組み込むことが、次の標準になっていくと筆者は見ている。

NHI(Non-Human Identities)の観点でも示唆がある。人間の認証情報を狙う攻撃がここまで洗練されてくると、人間がサービスアカウントやAPIキーを直接扱う運用リスクが改めて浮き彫りになる。マネージドIDやサービスプリンシパルへの移行を進め、人間の介在を減らすことが、こうした攻撃のアタックサーフェスを根本から縮小することにつながる。

月額1,000ドル以下でここまでの機能が「製品」として手に入る時代に、防御側が個別の対策を積み上げるだけでは追いつかない。アーキテクチャレベルでの見直しを、今年の優先課題に据えてほしい。

出典: この記事は The silent “Storm”: New infostealer hijacks sessions, decrypts server-side の内容をもとに、筆者の見解を加えて独自に執筆したものです。