話題の証券口座乗っ取りの手法
セキュリティ
今回のコラムでは、近年急増する証券口座乗っ取りの被害とその背後にあるサイバー攻撃の手口について解説します。
相次ぐ証券口座乗っ取りの被害
2025年に入ってから、国内では証券口座を乗っ取られて不正に株式が売買される被害が相次いでいます。その結果、乗っ取られた証券口座を通じて2025年4月までの数ヶ月間で不正アクセス件数が6,380件、不正取引件数が3,500件を超え、売買額は約3,050億円に達していることが明らかになりました。日本証券業協会は被害顧客への補償方針を打ち出し、警視庁も捜査を開始するなど、事態の深刻さがうかがえます。
本事案において特筆すべきは被害の急増ペースです。例えば、不正アクセス件数は2025年2月には43件であったものが、4月16日時点では1,847件へと40倍以上に急増しています 。また、1月には30件程度だった不正取引件数が、4月には2,700件を超え、同月だけで被害額は約2,800億円近くを占めたとの報告も確認されています。
このような短期間での被害件数および金額の指数関数的な増加は、単発的・偶発的な攻撃とは考えにくく、高度に組織化された犯罪グループによる計画的かつ大規模なキャンペーンが展開されている可能性を示唆しています。
表 報告された被害概要(2025年1月~4月)
これらの攻撃の根幹には、正規ユーザーの認証情報(IDおよびパスワード)の窃取があります。本コラムでは、実行犯が用いた手法として考えられている2つの手法をご紹介します。
1.InfoStealerによる認証情報の窃取
InfoStealerは情報窃取型マルウェアと呼ばれ、感染した端末に保存されている、あるいは端末上を通過する様々な種類のデータを収集するように設計された不正なプログラムです。収集対象としては、①ブラウザやアプリケーションに保存された認証情報、②クレジットカード情報や金融機関のウェブサイトで利用している認証情報、③キーロガーによるキーボード入力情報、クリップボードデータやスクリーンショットデータなどが含まれています。
ランサムウェアと違って感染した端末上でユーザーに気づかれるような動作をしないため、感染に気付けないこともあります。InfoStealerは、多様な感染経路を展開できるだけでなく、そのステルス性と広範な情報収集能力により、サイバー犯罪者にとって極めて有効なツールとなっています。
図 InfoStealerの主要な感染経路
また、InfoStealerによって盗み出されたデータは「Stealer Log」と呼ばれ、サイバー犯罪者が出入りするハッカーフォーラムやブラックマーケットに「商品」として出品されてしまうこともあります。今回取り上げた証券口座乗っ取りの事案においては、「商品」として流通させず盗み出した実行犯がその情報を直接悪用していたと考えられますが、サイバー犯罪市場においては漏洩した情報は日々売買されており、情報を購入した別の攻撃者によって新たな攻撃を仕掛けられてしまう可能性があります。
図 ブラックマーケットで販売されるStealer Log(InfoStealerが盗んだデータ)
リアルタイムフィッシング/
Adversary in the Middle(AiTM)攻撃
これらの手法は、多要素認証(MFA)を突破するために設計されたフィッシング攻撃です。攻撃者は、被害者と正規サイトの間に割り込む形で通信を中継します。例えば、被害者がフィッシングサイト(偽の証券会社ログインページ)に認証情報を入力すると、攻撃者はリアルタイムでその情報を正規サイト(本物の証券会社ログインんページ)で使用します。正規サイトがMFAコード(ワンタイムパスワードなど)を要求すると、フィッシングサイトがその要求を被害者に中継します。被害者がMFAコードをフィッシングサイトに入力すると、攻撃者はそれを利用して正規サイトへのログインを完了させることで不正アクセスを成立させます。
また、AiTM攻撃においては、ユーザーが攻撃者のフィッシングサイト経由で認証に成功した後、正規サイトから発行されたセッションCookie (認証完了後に一定期間、再訪時の認証を省略するための情報)を窃取して、セッションCookieの有効期限が切れるまで継続的に不正なログインを繰り返します。
図 Adversary in the Middle(AiTM)攻撃を利用した多要素認証の突破
フィッシング攻撃手口の進化は、防御側と攻撃側の間で絶え間ない技術競争を引き起こしています。多要素認証やユーザー教育といった防御策が普及するほどに、攻撃者はそれらを回避するため、より洗練された手法へと投資を続けるでしょう。この現実は、静的な防御策や一度きりの研修ではもはや通用しないこと、そして、継続的な対策の更新と、変化への即応こそが、私たちの揺るがぬ責務であることを明確に示しています。
株式会社Blue Planet-works|上席セキュリティアドバイザー 鴫原 祐輔
