はじめに

「たった1人の感染で、なぜ会社全体が止まるのか」という疑問は、昔のような社内LANの大量感染だけでは説明しきれません。いまの企業では、メール、チャット、コード管理、経費、顧客対応、決済までがクラウドとID基盤に集約されています。つまり攻撃者にとって価値が高いのは、端末そのものよりも、その端末から取り出せる認証情報やセッションです。

実際、2022年のUberでは契約社員の個人端末で漏れた認証情報が社内ツール侵入の起点となり、2024年のChange Healthcareでは盗まれた認証情報とMFA未設定のリモート接続が全米医療決済の混乱へつながりました。本稿では、インフォスティーラーがどのように「1人の感染」を全社停止へ変えるのか、事例と公的資料をもとに構造的に読み解きます。

侵入口は端末ではなく認証情報

インフォスティーラーと個人利用の接点

近年の攻撃で目立つのは、端末を壊すマルウェアよりも、ブラウザ保存パスワード、認証クッキー、暗号資産ウォレット情報などを静かに抜き取るインフォスティーラーです。Microsoftの2025年版 Digital Defense Report では、2024年10月から2025年10月にかけて Lumma Stealer が最も広く観測されたインフォスティーラーであり、同社が把握したID攻撃の97%はパスワードスプレーだったと整理しています。攻撃者はまず弱い認証を突破し、その後に盗んだ情報を売買する分業構造を作っています。

Mandiantの M-Trends 2025 も同じ方向を示しています。盗まれた認証情報は2024年の初期侵入ベクトルで2番目に多く、全体の16%を占めました。さらにVerizonは2025年DBIR関連分析で、侵害の22%が漏えい済み認証情報を初期アクセスに使っていたと説明しています。SSOログでは認証試行の中央値19%がクレデンシャルスタッフィングで、インフォスティーラー感染端末の利用者は、サービスごとのパスワードのうち中央値で49%しか重複なく使い分けられていませんでした。つまり、1台で盗まれた情報が複数サービスにそのまま通用しやすいのです。

この危険性は、業務端末の「個人利用」と強く結びつきます。Snowflake顧客を狙った2024年のMandiant調査では、複数案件で請負業者の端末がゲームや海賊版ソフトのダウンロードなど私的用途にも使われていました。しかもそうした端末は複数企業の環境へ接続し、IT管理権限を持つことが少なくありません。Mandiantは、単一の請負業者ノートPCの侵害が複数組織へのアクセスを媒介し得ると明記しています。個人利用の習慣は「その人だけのリスク」ではなく、接続先企業すべてのリスクに変わります。

クッキー窃取とMFA回避の接点

「MFAを入れていれば安心」という理解も、いまは十分ではありません。Oktaは2022年の解説で、正規利用者の端末が感染するとブラウザのセッションクッキーが盗まれ、攻撃者はそのクッキーを自分のブラウザへ注入して同一セッションへ入れると説明しました。FBIアトランタ支局も2024年10月、Remember Me型クッキーが盗まれると、攻撃者はユーザー名、パスワード、MFAなしでメールへ入れると警告しています。

ここで重要なのは、企業が守るべき対象が「ログイン画面」だけではないことです。いったん正規セッションが成立した後のクッキーやトークンが抜かれれば、MFAを通過した後の状態ごと持ち去られます。Googleは2026年4月9日、Chrome 146でDevice Bound Session Credentialsの一般提供を始め、盗まれたクッキーを別端末で使いにくくする仕組みを広げ始めました。これは逆に言えば、従来のWebセッションがそれほど狙われているということです。

1人の侵害が全社停止へ広がる構造

権限集中とSaaS横断の連鎖

Uberの2022年9月の公表は、この連鎖を非常に分かりやすく示しています。攻撃者は、個人端末のマルウェア感染で漏れた契約社員の企業パスワードを入手し、二要素認証の承認要求を繰り返し送って最終的に1回承認させました。その後、複数社員アカウントへアクセスし、G-SuiteやSlackなどに対する高い権限を獲得しています。Uberは多くの内部ツールを停止し、鍵をローテーションし、コードベースをロックダウンしました。公開サービスは維持されましたが、社内の業務継続性は明らかに揺らぎました。

ここで見える本質は、マルウェアが社内へ自動拡散したから止まったのではない、という点です。止まった理由は、1つの認証情報から複数のSaaS、管理ツール、運用基盤へ横断的に入れたからです。NISTのゼロトラスト文書が強調する通り、企業所有端末や社内ネットワークにいるというだけで暗黙の信頼を置く設計は、もはや前提になりません。認証と認可は、リソースごとに独立して評価すべきだという考え方です。

同じ構図は、2024年のSnowflake関連インシデントでも確認されました。Mandiantは、通知対象が約165組織に上り、攻撃者が使ったアカウントの少なくとも79.7%で事前の認証情報露出を確認したと報告しています。成功要因は三つで、MFAがなかったこと、盗まれた認証情報が数年後も有効だったこと、アクセス元制限がなかったことでした。つまり、攻撃者は「1人の端末感染」から始めても、認証設計が甘い企業ではそのまま重要SaaSの管理面へ到達できます。

停止判断が生む業務麻痺

さらに深刻なのは、企業が攻撃拡大を防ぐために自らシステムを止めざるを得ない局面です。Change Healthcare のCEO アンドリュー・ウィッティ氏は2024年5月1日の議会証言で、2月12日に盗まれた認証情報でCitrixポータルへリモート接続され、そのポータルにはMFAがなかったと説明しました。攻撃者は横移動とデータ持ち出しを行い、9日後の2月21日にランサムウェアを展開しています。

同証言でウィッティ氏は、侵入口が不明だった時点でさらなる感染を防ぐため、Changeのデータセンター接続を即時切断したと述べています。この封じ込めは正しい判断でしたが、結果として医療請求、薬局、支払いの広範な停止を招きました。3月7日に事前水準の99%の薬局請求処理が戻るまで時間を要し、4月26日時点でも決済処理は事前水準の約86%にとどまっていました。1つの認証情報の悪用が、単一企業を超えて医療インフラ全体の摩擦へ波及した事例です。

MGM Resorts も似た教訓を残しています。2024年の年次報告書では、2023年9月のサイバー問題がシステム停止を招き、米国内施設の運営混乱と売上への悪影響を生んだと記載しました。一方、Caesars Entertainment は同月の8-Kで、外部IT支援ベンダーに対するソーシャルエンジニアリング攻撃を受けたものの、顧客向け運営は継続できたと開示しています。差を分けたのは、侵入の有無そのものよりも、どこまで権限が集中していたか、停止範囲をどこまで限定できたかです。

防御の主戦場としての認証設計

フィッシング耐性と端末拘束の整備

対策の中心は、アンチウイルス強化だけでは足りません。まず、認証を「漏れる前提」で設計し直す必要があります。NIST SP 800-63B は、AAL2でもフィッシング耐性のある認証手段を提供すべきとし、連邦機関の職員、契約先、パートナーにはフィッシング耐性認証を求めています。さらにAAL3では、非エクスポート型の秘密鍵とハードウェア保護を要求しています。要するに、SMSやアプリ通知のMFAだけで満足せず、FIDO2やパスキーのような公開鍵ベース認証を特権アカウントから優先すべきです。

同時に、セッション管理も再設計が必要です。Oktaが勧めるように、感度の高い操作では都度再認証を求め、管理済み端末と良好な端末状態を条件にアクセスを絞ることが有効です。GoogleのDBSCは、ハードウェアに結び付いた短命セッションへ寄せる流れを示しました。企業側でも、管理コンソール、コード署名、決済承認、ID管理の各操作を同一セッションの延長で済ませず、短い寿命と再確認を入れる設計が必要です。

契約社員と外部委託を含む運用

もう1つの盲点は、正社員だけを前提にした統制です。UberもSnowflake事例も、契約社員や委託先の端末が弱点になりました。Verizonの2025年DBIRでは、第三者関与が全侵害の30%まで倍増したと報告されています。社内規程が厳格でも、委託先のブラウザ保存パスワードや私物端末利用が放置されれば、実効性は下がります。

したがって、外部人材を含めて最低限そろえるべき項目は明確です。管理者権限の常時付与をやめること、重要SaaSにアクセス元制限を設けること、漏えい済み認証情報の監視と即時ローテーションを運用に組み込むこと、そして端末の私的利用を曖昧に容認しないことです。インフォスティーラーは検知をすり抜ける前提で動くため、「感染を完全に防ぐ」より「盗まれても広がらない」を優先した方が現実的です。

注意点・展望

この問題でよくある誤解は、「社内の誰か1人が不用意だったから起きる」という個人責任論です。もちろん端末衛生は重要ですが、被害が全社停止へ増幅するかどうかは、本人の不注意よりも認証情報の再利用、権限集中、ベンダー統制不足、停止判断の設計で決まります。1人の感染で本当に会社が止まるなら、それは組織側が単一点障害を許していたということでもあります。

今後は二つの流れが強まるはずです。第一に、パスキーやハードウェア鍵、端末拘束型セッションの普及です。第二に、契約先を含めたID統制の厳格化です。とくに、医療、金融、物流のように中継機能を持つ企業では、1アカウントの侵害が多数の取引先停止へ直結します。防御の主戦場は、もはや境界防御ではなく、認証とセッションの設計に移っています。

まとめ

1人のマルウェア感染で会社が止まるのは、感染そのものが強いからではありません。感染した端末から盗まれたパスワードやクッキーが、SSO、SaaS、管理権限、外部委託経路を通じて企業の中枢へ届くからです。Uberは内部ツール停止、Change Healthcare は医療決済混乱、MGMは運営障害という形で、その連鎖を示しました。

経営と情報システム部門が見るべき優先順位は明確です。端末対策の次に、認証情報の使い回しを減らし、特権アカウントをフィッシング耐性認証へ移し、セッションを短くし、委託先まで含めて権限を絞ることです。「1人の感染」を防げなくても、「全社停止」に変えない設計はできます。そこが2026年の企業防御で最も重要な分岐点です。

参考資料:

• Security update | Uber
• Testimony of Andrew Witty Before the House Energy and Commerce Committee
• MGM Resorts International Annual Report 2023
• Caesars Entertainment 8-K on Cyber Incident
• Additional 2025 DBIR research on credential stuffing | Verizon
• Verizon’s 2025 Data Breach Investigations Report: Alarming surge in cyberattacks through third-parties
• Microsoft Digital Defense Report 2025
• M-Trends 2025: Data, Insights, and Recommendations From the Frontlines | Google Cloud
• UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud
• Defending against Session Hijacking | Okta Security
• Cybercriminals Are Stealing Cookies to Bypass Multifactor Authentication | FBI
• Zero Trust Architecture | NIST
• NIST Special Publication 800-63B
• Protecting Cookies with Device Bound Session Credentials | Google Online Security Blog