kinyukeizai.com
kinyukeizai.com

1人のマルウェア感染が全社停止を招く認証情報連鎖の仕組みと対策

by 伊藤 大輝
URLをコピーしました

UberとChangeに見る認証情報連鎖

「たった1人の感染で、なぜ会社全体が止まるのか」という疑問は、昔のような社内LANの大量感染だけでは説明しきれません。いまの企業では、メール、チャット、コード管理、経費、顧客対応、決済までがクラウドとID基盤に集約されています。つまり攻撃者にとって価値が高いのは、端末そのものよりも、その端末から取り出せる認証情報やセッションです。

実際、2022年のUberでは契約社員の個人端末で漏れた認証情報が社内ツール侵入の起点となり、2024年のChange Healthcareでは盗まれた認証情報とMFA未設定のリモート接続が全米医療決済の混乱へつながりました。本稿では、インフォスティーラーがどのように「1人の感染」を全社停止へ変えるのか、事例と公的資料をもとに構造的に読み解きます。

侵入口は端末ではなく認証情報

インフォスティーラーと個人利用の接点

近年の攻撃で目立つのは、端末を壊すマルウェアよりも、ブラウザ保存パスワード、認証クッキー、暗号資産ウォレット情報などを静かに抜き取るインフォスティーラーです。Microsoftの2025年版 Digital Defense Report では、2024年10月から2025年10月にかけて Lumma Stealer が最も広く観測されたインフォスティーラーであり、同社が把握したID攻撃の97%はパスワードスプレーだったと整理しています。攻撃者はまず弱い認証を突破し、その後に盗んだ情報を売買する分業構造を作っています。

Mandiantの M-Trends 2025 も同じ方向を示しています。盗まれた認証情報は2024年の初期侵入ベクトルで2番目に多く、全体の16%を占めました。さらにVerizonは2025年DBIR関連分析で、侵害の22%が漏えい済み認証情報を初期アクセスに使っていたと説明しています。SSOログでは認証試行の中央値19%がクレデンシャルスタッフィングで、インフォスティーラー感染端末の利用者は、サービスごとのパスワードのうち中央値で49%しか重複なく使い分けられていませんでした。つまり、1台で盗まれた情報が複数サービスにそのまま通用しやすいのです。

この危険性は、業務端末の「個人利用」と強く結びつきます。Snowflake顧客を狙った2024年のMandiant調査では、複数案件で請負業者の端末がゲームや海賊版ソフトのダウンロードなど私的用途にも使われていました。しかもそうした端末は複数企業の環境へ接続し、IT管理権限を持つことが少なくありません。Mandiantは、単一の請負業者ノートPCの侵害が複数組織へのアクセスを媒介し得ると明記しています。個人利用の習慣は「その人だけのリスク」ではなく、接続先企業すべてのリスクに変わります。

クッキー窃取とMFA回避の接点

「MFAを入れていれば安心」という理解も、いまは十分ではありません。Oktaは2022年の解説で、正規利用者の端末が感染するとブラウザのセッションクッキーが盗まれ、攻撃者はそのクッキーを自分のブラウザへ注入して同一セッションへ入れると説明しました。FBIアトランタ支局も2024年10月、Remember Me型クッキーが盗まれると、攻撃者はユーザー名、パスワード、MFAなしでメールへ入れると警告しています。

ここで重要なのは、企業が守るべき対象が「ログイン画面」だけではないことです。いったん正規セッションが成立した後のクッキーやトークンが抜かれれば、MFAを通過した後の状態ごと持ち去られます。Googleは2026年4月9日、Chrome 146でDevice Bound Session Credentialsの一般提供を始め、盗まれたクッキーを別端末で使いにくくする仕組みを広げ始めました。これは逆に言えば、従来のWebセッションがそれほど狙われているということです。

1人の侵害が全社停止へ広がる構造

権限集中とSaaS横断の連鎖

Uberの2022年9月の公表は、この連鎖を非常に分かりやすく示しています。攻撃者は、個人端末のマルウェア感染で漏れた契約社員の企業パスワードを入手し、二要素認証の承認要求を繰り返し送って最終的に1回承認させました。その後、複数社員アカウントへアクセスし、G-SuiteやSlackなどに対する高い権限を獲得しています。Uberは多くの内部ツールを停止し、鍵をローテーションし、コードベースをロックダウンしました。公開サービスは維持されましたが、社内の業務継続性は明らかに揺らぎました。

ここで見える本質は、マルウェアが社内へ自動拡散したから止まったのではない、という点です。止まった理由は、1つの認証情報から複数のSaaS、管理ツール、運用基盤へ横断的に入れたからです。NISTのゼロトラスト文書が強調する通り、企業所有端末や社内ネットワークにいるというだけで暗黙の信頼を置く設計は、もはや前提になりません。認証と認可は、リソースごとに独立して評価すべきだという考え方です。

同じ構図は、2024年のSnowflake関連インシデントでも確認されました。Mandiantは、通知対象が約165組織に上り、攻撃者が使ったアカウントの少なくとも79.7%で事前の認証情報露出を確認したと報告しています。成功要因は三つで、MFAがなかったこと、盗まれた認証情報が数年後も有効だったこと、アクセス元制限がなかったことでした。つまり、攻撃者は「1人の端末感染」から始めても、認証設計が甘い企業ではそのまま重要SaaSの管理面へ到達できます。

停止判断が生む業務麻痺

さらに深刻なのは、企業が攻撃拡大を防ぐために自らシステムを止めざるを得ない局面です。Change Healthcare のCEO アンドリュー・ウィッティ氏は2024年5月1日の議会証言で、2月12日に盗まれた認証情報でCitrixポータルへリモート接続され、そのポータルにはMFAがなかったと説明しました。攻撃者は横移動とデータ持ち出しを行い、9日後の2月21日にランサムウェアを展開しています。

同証言でウィッティ氏は、侵入口が不明だった時点でさらなる感染を防ぐため、Changeのデータセンター接続を即時切断したと述べています。この封じ込めは正しい判断でしたが、結果として医療請求、薬局、支払いの広範な停止を招きました。3月7日に事前水準の99%の薬局請求処理が戻るまで時間を要し、4月26日時点でも決済処理は事前水準の約86%にとどまっていました。1つの認証情報の悪用が、単一企業を超えて医療インフラ全体の摩擦へ波及した事例です。

MGM Resorts も似た教訓を残しています。2024年の年次報告書では、2023年9月のサイバー問題がシステム停止を招き、米国内施設の運営混乱と売上への悪影響を生んだと記載しました。一方、Caesars Entertainment は同月の8-Kで、外部IT支援ベンダーに対するソーシャルエンジニアリング攻撃を受けたものの、顧客向け運営は継続できたと開示しています。差を分けたのは、侵入の有無そのものよりも、どこまで権限が集中していたか、停止範囲をどこまで限定できたかです。

防御の主戦場としての認証設計

フィッシング耐性と端末拘束の整備

対策の中心は、アンチウイルス強化だけでは足りません。まず、認証を「漏れる前提」で設計し直す必要があります。NIST SP 800-63B は、AAL2でもフィッシング耐性のある認証手段を提供すべきとし、連邦機関の職員、契約先、パートナーにはフィッシング耐性認証を求めています。さらにAAL3では、非エクスポート型の秘密鍵とハードウェア保護を要求しています。要するに、SMSやアプリ通知のMFAだけで満足せず、FIDO2やパスキーのような公開鍵ベース認証を特権アカウントから優先すべきです。

同時に、セッション管理も再設計が必要です。Oktaが勧めるように、感度の高い操作では都度再認証を求め、管理済み端末と良好な端末状態を条件にアクセスを絞ることが有効です。GoogleのDBSCは、ハードウェアに結び付いた短命セッションへ寄せる流れを示しました。企業側でも、管理コンソール、コード署名、決済承認、ID管理の各操作を同一セッションの延長で済ませず、短い寿命と再確認を入れる設計が必要です。

契約社員と外部委託を含む運用

もう1つの盲点は、正社員だけを前提にした統制です。UberもSnowflake事例も、契約社員や委託先の端末が弱点になりました。Verizonの2025年DBIRでは、第三者関与が全侵害の30%まで倍増したと報告されています。社内規程が厳格でも、委託先のブラウザ保存パスワードや私物端末利用が放置されれば、実効性は下がります。

したがって、外部人材を含めて最低限そろえるべき項目は明確です。管理者権限の常時付与をやめること、重要SaaSにアクセス元制限を設けること、漏えい済み認証情報の監視と即時ローテーションを運用に組み込むこと、そして端末の私的利用を曖昧に容認しないことです。インフォスティーラーは検知をすり抜ける前提で動くため、「感染を完全に防ぐ」より「盗まれても広がらない」を優先した方が現実的です。

個人責任論を超えるID統制強化

この問題でよくある誤解は、「社内の誰か1人が不用意だったから起きる」という個人責任論です。もちろん端末衛生は重要ですが、被害が全社停止へ増幅するかどうかは、本人の不注意よりも認証情報の再利用、権限集中、ベンダー統制不足、停止判断の設計で決まります。1人の感染で本当に会社が止まるなら、それは組織側が単一点障害を許していたということでもあります。

今後は二つの流れが強まるはずです。第一に、パスキーやハードウェア鍵、端末拘束型セッションの普及です。第二に、契約先を含めたID統制の厳格化です。とくに、医療、金融、物流のように中継機能を持つ企業では、1アカウントの侵害が多数の取引先停止へ直結します。防御の主戦場は、もはや境界防御ではなく、認証とセッションの設計に移っています。

2026年企業防御の認証・権限設計

1人のマルウェア感染で会社が止まるのは、感染そのものが強いからではありません。感染した端末から盗まれたパスワードやクッキーが、SSO、SaaS、管理権限、外部委託経路を通じて企業の中枢へ届くからです。Uberは内部ツール停止、Change Healthcare は医療決済混乱、MGMは運営障害という形で、その連鎖を示しました。

経営と情報システム部門が見るべき優先順位は明確です。端末対策の次に、認証情報の使い回しを減らし、特権アカウントをフィッシング耐性認証へ移し、セッションを短くし、委託先まで含めて権限を絞ることです。「1人の感染」を防げなくても、「全社停止」に変えない設計はできます。そこが2026年の企業防御で最も重要な分岐点です。

参考資料:

伊藤 大輝

テクノロジー・産業動向

製造業のDX・新素材開発からモビリティの未来まで、技術革新がもたらす産業構造の変化を現場視点で伝える。

関連記事

ミュトス級AI攻撃で変わる日本企業の防衛常識とSaaS運用対策

AnthropicのClaude Mythos PreviewやMandiantの22秒ハンドオフは、AIが攻撃の速度と規模を変えたことを示す。SaaS、ID、バックアップ、ログ管理を軸に、日本企業が「止めないIT」から「止められても復旧できるIT」へ移る要点を、経営判断と現場運用の両面から詳しく解説。

サポート詐欺が企業端末を狙う、遠隔操作被害の新常態と企業防衛策

個人向けに見えたサポート詐欺が、業務端末の遠隔操作、不正送金、情報漏えい調査へ広がっている。IPAや警察庁、FBI IC3の最新資料を基に、10億ドル超の海外損失、2023年度に過去最高となった国内相談、組織端末で起きる二次被害を整理し、企業・学校・自治体が整えるべき初動、端末管理、送金統制、人材教育の実務論点を解説。

ニフティ不正アクセスが露呈したメールPW流出の深刻な連鎖被害

ニフティのメールサービスで224万8708人分のメールアドレス、186万2462人分のパスワード漏えいが確認された。KDDI共通基盤の脆弱性悪用から性的脅迫メール、フィッシング送信、パスワード再利用まで被害が連鎖する構造を整理し、利用者と事業者が今取るべき防衛策、メール運用の課題を具体的かつ詳細に解説。

Booking.com予約詐欺、二段階フィッシング信頼悪用の罠

Booking.com利用者を狙う詐欺は、実在する予約名や宿泊日を示す二段階フィッシングへ進化しています。Nortonが確認した350施設・50カ国規模の事例、2026年の予約情報流出報道、偽決済ページやAI文面の構造を基に、旅行者と宿泊事業者が取るべき確認策、カード停止判断までを実務目線で詳しく解説。

自宅ルーター悪用の深刻な現実、IoT犯罪中継から家を守る最新対策

家庭用ルーターやネットワークカメラが乗っ取られると、DDoS攻撃や不正アクセスの発信元に見える危険があります。NOTICEの2026年5月観測では推測容易なID・パスワード機器が月1万1315件。米司法省のSOHOルーター事案も踏まえ、警察沙汰を避ける点検、更新、買い替え判断を家庭側の実務として解説。

最新ニュース

ファミマのコンビニ服がユニクロ価格帯で売れる流通と財務の理由

ファミリーマートのコンビニエンスウェアは全国約1万6400店、429円ソックス、1498円Tシャツで日常着市場に入りました。ユニクロとの価格差、在庫回転、PB戦略、旗艦店FAMIMA PARK AZABUDAIの狙い、食品ついで買いとブランド投資の効果から、低価格でも勝負できる収益構造を詳しく読み解く。

桃鉄・るるぶで小学生が社会好きになる本5選と家庭の声かけ実践術

桃鉄やるるぶ、スーパー図鑑、ニュースのクイズ本を手がかりに、小学生が社会科へ自然に近づく家庭読書の方法を整理。2025年学校読書調査の小学生不読率9.6%も踏まえ、地理・産業・お金・政治を生活と結ぶ5冊の選び方、買い物や旅行で学びを広げる声かけ、親が読ませすぎない距離感の家庭での実例まで丁寧に解説。

暑い日のスポーツドリンク常飲が肝臓と腎臓を傷める理由と予防策

熱中症予防に役立つスポーツドリンクも、運動量に合わず常飲すれば糖質過多につながります。ポカリスエット500mlで炭水化物31g、アクエリアス500mlで23g。肝脂肪・慢性腎臓病・急性高血糖の研究と公的資料をもとに、高齢者や糖尿病、腎臓病のある人が夏の水分補給で水・お茶・経口補水液をどう使い分けるかを解説。

池袋駅の顔認証改札が問う鉄道DX普及壁と全国展開の勝算を分析

東武と日立が池袋駅で始めたSAKULaLa顔認証改札は、既存改札へのカメラ追加で導入障壁を下げる鉄道DXの試金石です。PASMO定期券限定の現状、PBIによる生体情報保護、IC併用機や駅周辺商業施設への拡張構想、Osaka Metroとの違いまで、全国展開に必要な実務条件と事業性の課題を具体的に読み解く。