ウクライナサイバー警察と米国法執行機関は、カリフォルニア州のオンラインストアのユーザーを標的にInfostealer(情報窃取)マルウェアを運用し、2万8000件以上のアカウントを侵害した18歳の男をウクライナ・オデッサで特定した。被害額は約72万1000ドル(約1億円超)に上る。

Infostealerで2万8000件を侵害した手口

2024年から2025年にかけて、容疑者はInfostealerマルウェアを使って被害者のデバイスに密かに感染させた。このマルウェアはブラウザのセッションデータ、ログイン認証情報、クッキー、セッショントークン、仮想通貨ウォレット、決済情報などを収集し、容疑者が管理するサーバーに送信する仕組みだ。

侵害されたアカウントは2万8000件に上り、そのうち5,800件が実際の不正購入に悪用された。被害総額は約72万1000ドル、チャージバックを含む直接損失は25万ドルに達している。

盗んだデータはオンラインリソースやTelegramボットを通じて処理・売買され、容疑者は仮想通貨で収益を受け取っていたとされる。ウクライナ警察は自宅2か所を捜索し、携帯電話・コンピュータ機器・銀行カード・電子記録媒体などを押収した。現時点では逮捕には至っておらず、当局はまだ起訴に向けた証拠を固めている段階だという。

最大の問題:セッショントークンでMFAが無効化される

今回の攻撃で技術的に最も重大なポイントは、セッショントークンの悪用だ。

セッショントークンは認証後にサーバーが発行するデータで、ブラウザがこれを保持することでログイン状態を維持する仕組みだ。これを盗まれると、攻撃者はパスワードを知らなくてもアカウントにアクセスできる。さらに深刻なのは、多要素認証(MFA)をすでに通過した後のセッションを乗っ取るため、MFA自体が意味をなさなくなる点だ。

「MFAを設定しているから安全」という前提が根底から崩れる攻撃手法であり、エンタープライズ環境でも決して他人事ではない。

実務への影響——日本のエンジニア・IT管理者へ

MFAの導入だけで安心しないこと

今回の事件が示す教訓は明確だ。MFAは認証「時点」を守るが、認証後のセッションは別の話だ。以下の対策を組み合わせて初めて実効性のある防御になる。

  • セッションの有効期限を短く設定する:長時間有効なセッションはリスクを高める。サービスの利便性とのバランスを取りながら、適切な失効タイミングを設定する
  • 継続的アクセス評価(CAE)の活用:Microsoft Entra IDのCAEは認証後もリアルタイムでセッションの正当性を評価し、異常を検知した際に即時失効できる。既にEntra IDを使っているなら積極的に有効化すべき機能だ
  • 条件付きアクセスポリシーの強化:未知のIPアドレスや新しいデバイスからのアクセスに再認証を要求する設定を追加する
  • デバイスコンプライアンスとの統合:管理対象デバイスからのアクセスのみ許可することで、マルウェアに感染した非管理デバイスからのトークン流用を防ぐ

Infostealerは「誰でも使えるツール」になっている

今回の容疑者は18歳だ。特別に高度な技術を持つ攻撃者でなくても、マルウェア・アズ・ア・サービス(MaaS)として流通するInfostealerを購入して展開するだけで、数億円規模の詐欺を実行できる時代になっている。

「うちは有名な会社じゃないから狙われない」という認識はもはや通用しない。ECサイトや顧客情報を持つ中小規模のオンラインサービスも標的になりうる。エンドポイントへの感染経路(フィッシングメール、悪意あるダウンロード)を塞ぐセキュリティ意識教育と、EDRソリューションの導入は急務だ。

筆者の見解

セキュリティ分野は正直、得意ジャンルとは言いにくい領域だ。細かい議論が多すぎるし、規格やフレームワークの海に溺れることも多い。ただ、今回の事件は技術的に非常に興味深い構造を持っている。

注目すべきはセッショントークンによるMFAバイパスという構造的問題だ。「MFAを入れた=安全」という思い込みは、今も多くの現場に根強く残っている。だが認証の「後」に発行されたセッションを奪われれば、MFAはあってないようなものになる。これはゼロトラストの文脈では「一度認証したら信頼し続ける」という旧来モデルの根本的な欠陥を突いている。

本来のゼロトラストは「継続的な検証(Continuous Verification)」が前提だ。Entra IDのCAEやMicrosoft Defenderのエンドポイント統合は、この方向性における正しいアプローチだと思う。こうした仕組みを組み合わせた多層防御こそが、アイデンティティ保護の核心になる。VPNで境界を守る時代から、セッション単位・アクセス単位で継続的に検証する時代への移行は、もはや「いつかやること」ではない。

今回の容疑者が18歳だという事実も、現実を直視させる。技術の民主化は、攻撃の民主化でもある。守る側が「うちはまだ大丈夫」と言っていられる時間は、思っているより短い。

出典: この記事は Ukraine identifies infostealer operator tied to 28,000 stolen accounts の内容をもとに、筆者の見解を加えて独自に執筆したものです。