情報窃取型マルウェアがセッションCookieを盗んで多要素認証を回避する仕組み

情報窃取型マルウェア(インフォスティーラー)は、感染した端末から認証情報や個人情報を集めて外部へ送り出すことを目的にした不正プログラムです。端末を暗号化して身代金を要求するランサムウェアとは目的が異なり、利用者に気づかれないまま情報だけを抜き取って立ち去ろうとします。デジタルアーツの解析によると、被害端末で集めた情報はカテゴリ別のテキストファイルにまとめられ、ひとつのZIPに圧縮されてから攻撃者のサーバへ1分程度で送信される例が報告されています。

このマルウェアが注目される理由のひとつは、盗んだセッションCookieを使うと、多要素認証(MFA)を導入したアカウントにも認証なしで入り込める場合があるという点です。MFAはパスワードが漏れても第二の要素で守る仕組みですが、認証が完了した後のセッションそのものを持ち出されると、その前提が崩れることがあります。本記事は、何が盗まれるのか、なぜCookieの窃取でMFAを回避できるのか、どう感染するのか、そして個人と組織は何ができるのかを、一次情報をもとに整理します。

情報窃取型マルウェアが盗むもの#

情報窃取型マルウェアが狙うのは、端末のなかに保存された「すぐ使える」価値のあるデータです。デジタルアーツの解析では、ブラウザに保存されたIDとパスワード、クレジットカード情報、Cookie情報、端末情報やスクリーンショット、デスクトップ上のテキストファイルの中身などが窃取対象として報告されています。Microsoftは、同社が対処したLumma Stealerについて、パスワードやクレジットカード、銀行口座、暗号資産ウォレットを盗むと説明しています。

盗まれる情報は、それぞれ悪用のされ方が異なります。

• 保存パスワード：ブラウザやパスワード保管機能に記録されたログイン情報です。同じパスワードを複数のサービスで使い回していると、ひとつの漏えいが連鎖的な不正ログインにつながります。
• セッションCookie：ログイン後にサーバが発行する、認証済み状態を表す小さなデータです。後述するように、これが盗まれると認証をやり直さずになりすませる場合があります。
• 暗号資産ウォレット：端末上のウォレットアプリの設定や鍵に関わる情報です。資産が直接持ち出される被害につながります。
• オートフィル情報：氏名や住所、入力履歴など、フォームの自動補完のために保存された情報です。なりすましやフィッシングの精度を上げる材料になります。

これらが一度の感染でまとめて持ち出される点に、このマルウェアの危険があります。IPAの「情報セキュリティ10大脅威 2026」(2026年1月29日公開)でも、個人向けの脅威として「インターネット上のサービスからの個人情報の窃取」や「インターネット上のサービスへの不正ログイン」が挙げられており、認証情報の窃取と不正ログインが続く構図が示されています。

攻撃者がセッションCookieでMFAを回避する仕組み#

ここで鍵になるのが、セッションCookieという仕組みそのものの性質です。Webサービスでは、利用者がIDとパスワードを入れ、必要ならMFAのコードや承認を済ませると、サーバが「この利用者は認証済みである」という証としてセッションCookieを発行します。以降のアクセスでは、ブラウザがこのCookieを送るだけで認証済みとして扱われ、ページを開くたびにログインし直す必要はありません。利便性のために、認証の手間を一度きりにまとめているわけです。

攻撃者は、この性質を逆手に取ります。情報窃取型マルウェアが盗み出すのは、まさにこの認証後に発行された有効なセッションCookieです。攻撃者は盗んだCookieを自分のブラウザに読み込ませ、被害者のセッションをそのまま再現します。サーバから見ると、送られてきたのは正規に発行済みのCookieなので、認証はすでに済んだものとして扱われます。パスワードの入力もMFAのコード提示も求められないのは、その関門が最初の本人のログイン時にすでに通過されているからです。この手口は「パス・ザ・クッキー(Pass-the-Cookie)」と呼ばれます。

デジタルアーツは、窃取したCookieを悪用して多要素認証を無視し、証券会社のアカウントページにアクセスする例を報告しています。つまりMFAが回避されるのは、第二の要素そのものが破られたからではなく、要素をすべて満たした後の認証済みセッションを丸ごと持ち出されたからです。原因を「MFAが弱いから」と一語に還元せず、認証の成果物であるセッションが端末から流出する経路に問題があると捉えると、対策の方向が定まります。なお攻撃者が持ち出すのはCookieに限らず、ブラウザのlocalStorageなどに保持された同等の認証トークン(Bearerトークンやリフレッシュトークン)も対象になります。一方で、サービス側がIPアドレスや端末の特徴の変化を検知したり、重要な操作の前に再認証を求めたりする場合には、盗んだセッションでの操作が途中で失敗することもあります。

この機構には限界もあります。セッションには有効期限があり、サーバ側が利用環境の変化を検知して再認証を求めれば、盗まれたCookieは使えなくなることがあります。後述する対策は、この「期限」と「再認証」をどう短く、どう厳しくするかという発想に立っています。

主な感染経路#

盗む仕組みがいくら高度でも、まず端末で実行されなければ被害は起きません。情報窃取型マルウェアの主な入口は、利用者が「正規のものだ」と思い込んで自分で実行してしまう誘導です。デジタルアーツが引用する警視庁の警告では、改ざんされたサイトや偽装されたソフトウェアからの感染が指摘されています。

代表的な経路は次のとおりです。

• 偽インストーラ：人気ソフトや業務ツールの導入ページを装い、本物そっくりのインストーラにマルウェアを同梱します。利用者は欲しいソフトを入れるつもりで実行します。
• 不正広告(マルバタイジング)：検索結果に出る広告枠を使い、正規サイトに似た配布ページへ誘導します。検索上位に見えるため、利用者は疑いにくくなります。
• ClickFix：偽のCAPTCHAやエラー画面を見せ、利用者自身にコマンドを貼り付けて実行させる社会工学の手口です。ブラウザがファイルをダウンロードしないため、ダウンロード起点の警告を回避しやすく、最終的に情報窃取型マルウェアが送り込まれる例が報告されています。

あわせて読みたい

偽のCAPTCHAにコマンドを貼り付けさせるClickFix

これらに共通するのは、攻撃者がマルウェアを強引に送り込むのではなく、利用者の操作を一段挟ませる点です。裏を返せば、入口での見分けと、実行を許さない端末側の備えが効いてきます。

個人ができる対策#

個人の対策は、感染しにくくすることと、感染してしまった後の被害を小さくすることの両輪で考えます。

このなかで見落とされやすいのが、感染後の初動です。情報窃取型マルウェアは盗んだ情報を短時間で送信するため、感染に気づいた時点でCookieやパスワードがすでに攻撃者の手にあると考える必要があります。パスワードを変えるだけでなく、各サービスの設定にある「すべてのデバイスからログアウト」などでセッションを失効させてください。Cookieが盗まれていても、セッションを無効化すれば再現を断てます。

あわせて読みたい

パスワードマネージャーの選び方とおすすめ。方式・同期・共有を実務目線で比較

なりすましの土台を狭めるという点では、デバイスに紐づく認証も有効です。パスキーは秘密鍵が端末から出ない設計のため、フィッシングで認証情報を抜き取られにくい利点があります。ログインの入口を強くしておくことは、情報窃取型マルウェア以外の経路への備えにもなります。

あわせて読みたい

パスキーとは。パスワードのない世界へ、仕組みと使い方・移行を解説

組織ができる対策#

組織では、端末を守る対策と、セッションそのものを守る対策の両方が求められます。担当者は、感染を防ぐ層と、感染しても認証済みセッションの再利用を許さない層を分けて設計すると整理しやすくなります。

端末側では、EDR(Endpoint Detection and Response)で不審なプロセスや外部送信の挙動を検知し、感染端末を早期に隔離できる体制が効きます。情報窃取型マルウェアは正規ソフトを装って実行されることが多いため、ファイルの素性だけで判断せず、実行後の振る舞いを見る監視が必要です。あわせて、業務端末でのソフト導入を管理し、不正広告や偽インストーラからの実行を抑える運用も入口を狭めます。

セッション側では、有効期限の短縮と再認証の要求が基本になります。長く有効なCookieほど、盗まれた後の悪用窓が広がるためです。アクセス元やデバイスの変化を検知して再認証を求める仕組みを組み合わせれば、盗まれたCookieが別環境で使われた時点で関門を設けられます。

セッションを端末に縛り付ける対策も実用段階に入っています。Googleは、セッションを端末のハードウェアに暗号的に紐づけるDevice Bound Session Credentials(DBSC)を、Windows版のChromeでまず一般提供に入れ、他のプラットフォームへ順次広げるとしています(macOSなどの提供状況は時期で変わるため、最新は公式の案内を確認してください)。秘密鍵をWindowsのTPMやmacOSのSecure Enclaveといったハードウェアで生成して端末外に持ち出せないようにし、新しい短命のCookieを発行する際にサーバが鍵の所持証明を要求する仕組みです。これにより、Cookieだけを抜き取られても鍵がない攻撃者の手元では短期間で失効し、悪用しにくくなります。万能の防御ではありませんが、Cookieの単純な持ち出しを無力化する方向の対策として位置づけられます。

組織の入口認証では、フィッシングに耐性のある認証方式を選ぶことも効いてきます。MFAの設定の勘所は別記事で整理しています。

あわせて読みたい

多要素認証（MFA）の選び方と導入の勘所。方式比較から運用まで徹底解説

MaaSとして広がる背景#

最後に、この脅威がなぜ広く観測されるのかという背景にも触れておきます。情報窃取型マルウェアの一部は、開発者が作った検体をサービスとして貸し出すMaaS(Malware as a Service)の形で流通しています。攻撃者は自前で開発しなくても、月額などの契約で検体を入手して攻撃を仕掛けられるため、攻撃の担い手が増えやすくなります。

代表例がLumma Stealerです。Microsoftは、Lummaが少なくとも2022年からアンダーグラウンドのフォーラムでMaaSとして販売され、顧客が独自バージョンを作れる複数のサービス階層が用意されていたと報告しています。同社は2025年3月16日から5月16日までの間に世界で394,000台を超えるWindows端末がLummaに感染していたことを確認し、2025年5月に法執行機関などと連携した基盤の停止措置を行ったとしています。この措置では、Microsoftへ移管または押収されたものが1,300超、Europolの支援で法執行機関が対処したものが300、あわせて約2,300の悪性ドメインが対象になったと説明されています。

一社や一回の摘発で消える脅威ではありませんが、何が盗まれ、なぜMFAを回避できるのかという機構を理解しておけば、感染を防ぐ層とセッションを守る層のどちらに手を入れるべきかを、状況に応じて判断できます。