情報窃取型マルウェアとは?StealC・Amadey摘発から見る認証情報流出リスク

情報窃取型マルウェア、いわゆる「インフォスティーラー」への警戒が高まっています。

情報窃取型マルウェアとは、感染した端末からID、パスワード、Cookie、セッショントークン、暗号資産ウォレット、ブラウザ保存情報などを盗み出すマルウェアです。

単に端末を壊したり、画面に警告を表示したりするだけではありません。攻撃者にとって価値の高い「ログインできる情報」を盗み、別の不正ログイン、アカウント乗っ取り、金融詐欺、ランサムウェア攻撃につなげる点が特徴です。

2026年6月には、MicrosoftとEuropolが、情報窃取型マルウェア「StealC」と、それを送り込むローダとして使われる「Amadey」の基盤を一斉に停止させたと発表しました。これは国際的な取り締まり活動「Operation Endgame」の一環です。Microsoftによると、Amadeyは端末への侵入を助け、StealCはパスワードや機密情報を盗み出す役割を担っており、両者はサイバー犯罪の分業構造の中で連携して使われていました。

この記事では、情報窃取型マルウェアとは何か、StealC・Amadeyの摘発から何が分かるのか、企業や金融・決済アプリ事業者が確認すべき対策を整理します。

情報窃取型マルウェアとは

情報窃取型マルウェアとは、感染した端末内の情報を盗み出すことを目的としたマルウェアです。

英語では「infostealer」や「information stealer」と呼ばれます。

狙われる情報は、主に次のようなものです。

  • ブラウザに保存されたID・パスワード
  • Cookie
  • セッショントークン
  • メールアカウント情報
  • VPNやクラウドサービスの認証情報
  • 暗号資産ウォレット
  • クレジットカード情報
  • 端末情報
  • スクリーンショット
  • ファイル
  • クリップボード内の情報

特に危険なのは、パスワードだけでなくCookieやセッショントークンも狙われる点です。

Cookieやセッショントークンが盗まれると、攻撃者が正しいパスワードを知らなくても、ログイン済みの状態を悪用できる場合があります。これにより、多要素認証を設定していても、セッションを奪われるリスクがあります。

つまり、情報窃取型マルウェアは「パスワードを盗むマルウェア」だけではありません。

すでにログイン済みの状態や、本人確認後のセッション情報まで狙うため、企業や金融サービスにとって非常に厄介な脅威です。

StealCとは

StealCは、情報窃取型マルウェアの一種です。

ブラウザに保存されたパスワード、Cookie、セッショントークン、暗号資産ウォレットなどを盗み出すマルウェアとして知られています。ITmediaの報道でも、StealCはWebブラウザに保存されたパスワード、Cookie、セッショントークン、暗号資産ウォレットなどを盗み出す情報窃取型マルウェアと説明されています。

StealCのようなマルウェアが危険なのは、盗まれた情報がその場で終わらないことです。

攻撃者は盗んだ認証情報を使って、次のような行動を取る可能性があります。

  • メールアカウントへログインする
  • クラウドストレージへログインする
  • 社内システムへログインする
  • 金融サービスや決済アプリへログインする
  • ECサイトのアカウントを乗っ取る
  • SNSアカウントを乗っ取る
  • 盗んだ認証情報を売買する
  • ランサムウェア攻撃の初期侵入に使う

盗まれた情報は、攻撃者本人が使うだけではありません。

アクセスブローカーや別の犯罪グループに売られ、数日後、数週間後、場合によっては数カ月後に悪用されることもあります。

そのため、情報窃取型マルウェアの被害は、感染した瞬間だけでなく、その後の不正ログインやアカウント乗っ取りとして表面化することがあります。

Amadeyとは

Amadeyは、他のマルウェアを送り込むローダやボットとして使われるマルウェアです。

Microsoftは、Amadeyが攻撃者による端末へのアクセスを助け、StealCがパスワードや機密情報を盗み出す役割を担うと説明しています。つまり、Amadeyが侵入の足場を作り、StealCが情報を盗むという分業が行われていたと考えられます。

このように、現代のサイバー攻撃は1つのマルウェアだけで完結するとは限りません。

たとえば、次のような流れが考えられます。

  1. ユーザーが偽ソフトや不正な添付ファイルを実行する
  2. Amadeyのようなローダが端末に入り込む
  3. StealCのような情報窃取型マルウェアが追加で送り込まれる
  4. パスワードやCookieなどの認証情報が盗まれる
  5. 盗まれた情報が売買される
  6. 別の攻撃者が社内システムやクラウドに侵入する
  7. ランサムウェアや金融詐欺につながる

この流れを見ると、情報窃取型マルウェアは「小さな感染」では済まないことが分かります。

端末1台の感染が、企業全体の侵害に発展する可能性があります。

Operation Endgameで何が起きたのか

2026年6月、Microsoft、Europol、複数の法執行機関、セキュリティ企業が連携し、StealCとAmadeyの基盤を一斉に停止させました。

Microsoftによると、同社のDigital Crimes Unitは200以上のC2サーバを停止させ、感染した約1万8000台の端末を特定し、通信事業者と連携して保護に取り組んでいます。また、2026年5月上旬の2週間だけで、AmadeyとStealCは世界で14万台超の感染に関与していたとされています。

Europolは、一連のOperation Endgameで、SocGholish、Amadey、StealCなどのマルウェアネットワークに対して国際的な摘発を行い、犯罪インフラの停止や窃取された認証情報の回収、犯罪収益に関連する暗号資産の制限などを発表しています。

この摘発で重要なのは、単に1つのマルウェアを止めたという話ではない点です。

Microsoftは、今回の取り組みを「サイバー犯罪のサプライチェーン」を狙ったものと説明しています。AmadeyとStealCは別々の犯罪者によって作られたツールでありながら、同じインフラを使い、攻撃の分業構造の中で組み合わされていたとされています。

つまり、現代のサイバー犯罪は、次のような分業で成り立っています。

  • 侵入する人
  • マルウェアを配布する人
  • 認証情報を盗む人
  • 盗んだ情報を売る人
  • 買った情報で侵入する人
  • ランサムウェアを実行する人
  • 詐欺や不正送金に使う人

攻撃者は一枚岩ではありません。

複数の犯罪者やツールが分業し、盗まれた認証情報を中心に攻撃がつながっていきます。

情報窃取型マルウェアが企業にとって危険な理由

情報窃取型マルウェアが企業にとって危険なのは、感染した端末が社内端末に限らないからです。

たとえば、従業員の私物PC、自宅PC、業務委託先の端末、リモートワーク環境の端末が感染した場合でも、そこに企業サービスの認証情報が保存されていればリスクになります。

Microsoftは、従業員の個人端末が情報窃取型マルウェアに感染すると、企業のVPN、シングルサインオン、クラウドサービスの認証情報やセッションCookieが盗まれ、多要素認証を回避されて社内システムへ侵入されるおそれがあると指摘しています。

企業側から見ると、攻撃者は「正しいID・パスワード」や「有効なセッション」を使って入ってくるように見える場合があります。

そのため、通常の不正アクセスよりも検知が難しくなります。

盗まれた認証情報はどのように悪用されるのか

情報窃取型マルウェアで盗まれた認証情報は、さまざまな形で悪用されます。

1. 不正ログイン

最も分かりやすいのが、不正ログインです。

盗まれたID・パスワードを使って、攻撃者が本人になりすましてログインします。

利用者が複数サービスで同じパスワードを使い回している場合、1つのサービスから流出した認証情報が、別のサービスへのログインにも悪用されます。

2. アカウント乗っ取り

不正ログインに成功すると、攻撃者はアカウントを乗っ取ることができます。

アカウントが乗っ取られると、次のような被害が発生する可能性があります。

  • 登録メールアドレスの変更
  • パスワード変更
  • 登録電話番号の変更
  • ポイントや残高の不正利用
  • 登録カードの悪用
  • 個人情報の閲覧
  • なりすまし投稿
  • 取引先や知人への詐欺メッセージ送信

金融・決済アプリの場合、アカウント乗っ取りは不正送金や不正決済につながるおそれがあります。

3. セッションハイジャック

Cookieやセッショントークンが盗まれると、攻撃者がログイン済みの状態を悪用する可能性があります。

これは、パスワードを入力していなくても、すでに認証済みのセッションを奪う攻撃です。

多要素認証を導入していても、セッションが奪われると、攻撃者が本人のログイン状態を利用できる場合があります。

もちろん、多要素認証は重要です。

しかし、情報窃取型マルウェア対策では、ログイン時の認証だけでなく、セッション管理、端末リスク判定、重要操作時の再認証も必要になります。

4. ランサムウェア攻撃の初期侵入

盗まれた認証情報は、ランサムウェア攻撃の入口にもなります。

攻撃者は盗んだVPN、RDP、クラウド、メール、SSOの認証情報を使い、企業ネットワークに侵入します。

その後、内部探索、権限昇格、データ窃取、暗号化、脅迫へと進みます。

この場合、最初のきっかけは「端末1台の情報窃取型マルウェア感染」でも、最終的には企業全体の業務停止に発展する可能性があります。

5. フィッシングや詐欺への悪用

盗まれたメールアカウントやSNSアカウントは、フィッシングや詐欺に悪用されます。

正規のアカウントから送られたメッセージは、受け手に信用されやすくなります。

特に、過去のメール履歴や取引内容が見られている場合、攻撃者は非常に自然な文面でなりすましメールを送ることができます。

金融・決済アプリで特に注意すべき理由

情報窃取型マルウェアは、金融・決済アプリにとって特に重要な脅威です。

なぜなら、攻撃者が最終的に狙うのは「ログイン後にできる操作」だからです。

金融・決済アプリでは、ログイン後に次のような重要操作が可能になります。

  • 残高確認
  • 送金
  • 決済
  • 登録情報の変更
  • 出金先口座の変更
  • クレジットカード登録
  • ポイント交換
  • 本人確認情報の閲覧
  • 端末変更
  • パスワード変更

ID・パスワードだけでなく、Cookie、セッショントークン、端末情報が盗まれると、攻撃者は本人の利用環境に近い状態を再現しようとします。

そのため、金融・決済アプリでは、単純なログイン認証だけでなく、端末、セッション、操作内容、行動パターンを組み合わせてリスクを判断する必要があります。

企業が確認すべき対策

情報窃取型マルウェアへの対策では、「感染させない」「盗まれても悪用させない」「悪用を早期に検知する」の3つが重要です。

1. 端末のマルウェア対策を強化する

まず、端末側の対策が必要です。

確認すべきポイントは次の通りです。

  • OSとブラウザを最新に保つ
  • セキュリティソフトやEDRを導入する
  • 不審なソフトをインストールしない
  • 正規サイト以外からアプリを入手しない
  • 偽の広告や偽ダウンロードサイトに注意する
  • 添付ファイルやURLを安易に開かない
  • 業務端末と私物端末を分ける

特に、検索広告や偽サイトを使って正規ソフトに見せかけたマルウェアを配布する手口には注意が必要です。

2. ブラウザ保存パスワードへの依存を減らす

情報窃取型マルウェアは、ブラウザに保存された認証情報を狙います。

そのため、重要な業務システムや金融サービスのパスワードをブラウザに保存し続ける運用は見直すべきです。

企業では、パスワード管理ツールの利用、SSOの適切な設定、重要システムへの条件付きアクセスなどを検討する必要があります。

3. 多要素認証を導入する

ID・パスワードだけの認証は危険です。

多要素認証を導入することで、パスワードが盗まれても不正ログインを防げる可能性が高まります。

ただし、多要素認証を導入していれば完全に安全というわけではありません。

Cookieやセッショントークンが盗まれるケース、フィッシングで認証コードを入力させるケース、端末ごと乗っ取られるケースもあります。

そのため、多要素認証は基本対策であり、セッション管理や端末リスク判定と組み合わせることが重要です。

4. セッション管理を強化する

情報窃取型マルウェア対策では、セッション管理が非常に重要です。

確認すべきポイントは次の通りです。

  • 長期間有効なセッションを放置しない
  • 不審なIPアドレスや国からのアクセスを検知する
  • 普段と異なる端末からのアクセスを検知する
  • 重要操作時に再認証を求める
  • 端末変更時に追加認証を行う
  • Cookieやトークンの不正利用を検知する
  • ログアウト後のセッション無効化を徹底する

ログイン時だけでなく、ログイン後の操作を継続的に評価する必要があります。

5. 認証情報流出を前提に監視する

企業は、認証情報が絶対に漏れないという前提ではなく、漏れる可能性があるという前提で監視すべきです。

たとえば、次のような兆候を監視します。

  • 短時間に多数のログイン試行
  • いつもと違う地域からのログイン
  • 端末情報の急な変化
  • パスワード変更直後の重要操作
  • 登録メールアドレス変更
  • 送金先や出金先の変更
  • 複数アカウントで似たログイン失敗
  • 休眠アカウントの突然の利用

金融・決済アプリでは、ログイン成功だけを見ても不十分です。

ログイン後の行動まで含めて、不自然な操作を検知する必要があります。

6. 重要操作時の追加認証を導入する

ログイン時だけでなく、重要操作時に追加認証を求めることも有効です。

特に次の操作では、追加認証やリスクベース認証を検討すべきです。

  • 送金
  • 出金
  • 高額決済
  • 登録情報変更
  • パスワード変更
  • メールアドレス変更
  • 電話番号変更
  • 端末変更
  • 新しい送金先の登録
  • API連携の追加
  • 口座連携の変更

攻撃者がログインに成功しても、重要操作で止められれば被害を抑えられます。

7. 従業員の私物端末リスクを見直す

企業では、業務端末だけでなく、私物端末や外部委託先の端末リスクも考える必要があります。

リモートワークやクラウド利用が増えると、従業員の個人端末から業務システムへアクセスするケースがあります。

その端末が情報窃取型マルウェアに感染していれば、企業の認証情報が盗まれる可能性があります。

確認すべきポイントは次の通りです。

  • 私物端末から業務システムへアクセスさせているか
  • 端末管理ルールはあるか
  • VPNやSSOの認証情報が保存されていないか
  • 退職者・委託先アカウントが残っていないか
  • 管理外端末からのアクセスを制限できるか
  • 条件付きアクセスを設定しているか

管理外端末からのアクセスは、情報窃取型マルウェアのリスクを高めます。

利用者ができる対策

個人利用者も、情報窃取型マルウェアには注意が必要です。

特に金融サービス、決済アプリ、ECサイト、SNS、メールアカウントを利用している場合は、次の対策を確認してください。

  • OSとブラウザを最新にする
  • 不審なソフトを入れない
  • 広告経由の偽ダウンロードサイトに注意する
  • パスワードを使い回さない
  • 重要サービスでは多要素認証を有効にする
  • ブラウザに保存したパスワードを見直す
  • 不審なログイン通知を確認する
  • 公式アプリ・公式サイトからログインする
  • 不審なメールやSMSのリンクを開かない
  • 身に覚えのない端末ログインを削除する

特に、同じパスワードの使い回しは危険です。

1つのサービスから認証情報が漏れた場合、別のサービスの不正ログインに使われる可能性があります。

情報窃取型マルウェアは「入口の脅威」である

情報窃取型マルウェアの怖さは、感染そのものよりも、その後にあります。

盗まれた認証情報は、別の攻撃に使われます。

  • 不正ログイン
  • アカウント乗っ取り
  • セッションハイジャック
  • フィッシング
  • BEC詐欺
  • 金融詐欺
  • ランサムウェア
  • 社内システム侵入

つまり、情報窃取型マルウェアは「入口の脅威」です。

端末1台の感染が、アカウント乗っ取りや企業ネットワーク侵害に発展する可能性があります。

まとめ:認証情報は盗まれる前提で守る必要がある

StealCやAmadeyの摘発は、情報窃取型マルウェアが単独の脅威ではなく、サイバー犯罪の分業構造の一部として使われていることを示しています。

Amadeyのようなローダが侵入の足場を作り、StealCのような情報窃取型マルウェアがパスワードやCookieを盗み、その情報が不正ログイン、詐欺、ランサムウェア攻撃につながる流れです。

企業や金融・決済アプリ事業者は、次の観点で対策を見直す必要があります。

  • 端末感染を防ぐ
  • パスワードの使い回しを防ぐ
  • 多要素認証を導入する
  • セッション管理を強化する
  • 重要操作時に追加認証を行う
  • 認証情報流出を前提に監視する
  • 管理外端末からのアクセスを制限する
  • 不審なログイン後の行動を検知する

情報窃取型マルウェア対策では、「感染しないこと」だけでなく、「盗まれても悪用されにくい仕組み」を作ることが重要です。

ID・パスワードだけに依存した認証では、今後ますますリスクが高まります。

認証情報は守るだけでなく、盗まれる可能性を前提に監視し、不正利用を早期に止める設計が求められます。

あわせて読みたい