インフォスティーラー感染の35%は、ユーザーが一時フォルダーからファイルを直接実行することに起因、Kasperskyの調査により判明

東京, 2026年6月26日 - (JCN Newswire) - このたび、KasperskyのDigital Footprint Intelligence（DFI）部門が新たに実施した調査によって、インフォスティーラー感染の3分の1以上が、ユーザーがブラウザーの一時フォルダーから直接ファイルを実行することに起因していることが明らかになり、認証情報窃取の背景において、ユーザーの行動が依然として重要な要因であることが分かりました。インフォスティーラー攻撃のうち、プロセスインジェクションや環境寄生型（Living off the Land：LotL）攻撃といった、高度なマルウェアファミリーでよく見られる手法を用いているものは32%にとどまっています。

Kaspersky DFIのリサーチャーらが、2025年にダークウェブ上で発見されたインフォスティーラーのログファイル500万件について分析を実施しました。これらのログには、アカウントの認証情報やブラウザーのクッキー、システムのメタデータなど、被害端末から窃取されたデータが含まれていたほか、感染した端末内で悪意のあるファイルが最初に保存されていた場所も明らかになりました。

最も多かった場所は、Windowsの一時ディレクトリ「C:\Users\AppData\Local\Temp\」で、観測された全ケースの約35%を占めていました。このフォルダーは通常、インターネットからダウンロードしたファイルを、ユーザーが場所を明示的に指定して保存する前に、一時的に格納しておくためのフォルダーです。つまり、ユーザーがダウンロードしたファイルを直接実行することによって感染が発生するケースが相当数あり、攻撃者が高度な回避技術を用いる必要がないことを示しています。

2番目に多かった場所は、約32%を占める「C:\Windows\Microsoft.NET\Framework\」でした。このパスは、マルウェアが正規のシステムプロセスを悪用して検知を回避する、プロセスインジェクションや環境寄生型攻撃と関連しています。このようなふるまいは、Lummaのようなより高度なインフォスティーラーファミリーでよく見られます。

今回の分析から見えてくるのは、感染はユーザーによるリスクの高い2つの行動と結び付いている場合がよくあるということです。その2つの行動とは、信頼できないソースからソフトウェアをダウンロードすることと、ソフトウェアを不正に有効化しようとすることで、多くの場合、攻撃者が示す手順に従って、セキュリティソフトを無効にしてから悪意のあるファイルを実行するというパターンで被害に遭っています。今回の調査によると、悪意のあるファイルの多くは、正規のソフトウェアインストーラーやアクティベーター、ゲームのMOD（改造ツール）に偽装されていたとのことです。ゲームのMODは以前から代表的なおとりの1つですが、攻撃者は頻繁に同様の手口を用いて、ほぼあらゆる種類のソフトウェアを拡散しています。

Kaspersky Digital Footprint Intelligenceのエキスパート、セルゲイ・シェルベリ（Sergey Shcherbel）は次のように述べています。「インフォスティーラーは2025年に急増し、感染件数は前年比で59%増加しました。当社の分析は、これらの被害の多くにおいてユーザーの行動が引き続き重要な要因であることを示しています。一時的なダウンロードフォルダーから実行されるインフォスティーラーの多さから、ユーザーがダウンロード直後にそれらを起動しているケースが多いことがうかがえます。多くの場合、攻撃者に高度な技術は必要なく、ユーザーにファイルを実行させるよう仕向けるだけでよいのです」

また、日本の株式会社カスペルスキーで代表取締役社長を務める嵯峨野充は次のように述べています。「インフォスティーラーのエコシステムは拡大しており、サイバー犯罪が広範な犯罪ビジネスへと発展し、盗まれた認証情報が売買・再利用されてさらなる攻撃を助長していることが浮き彫りになりました。組織においては、1つのアカウントが侵害を受けただけでも、その影響は特定の従業員やデバイスにとどまらず、事業運営や信頼関係にあるパートナー、さらには顧客にまで波及する可能性があります。各業界でデジタルトランスフォーメーションが進む中、サイバーセキュリティ問題に対する従業員の意識を高め、リスク低減の手段としてセキュリティを意識した行動を促す職場環境を整備することの重要性がますます高まっています」

行動面の特徴に加え、インフォスティーラーファミリーごとに特徴的な命名パターンも確認されました。例えば、Lummaの場合、汎用的なインストーラー名や、.NETの難読化、プロセスインジェクションを好む傾向があります。一方、Vidarは従来のローダーを利用し、「Bootstrapper.exe」系のファイル名で現れることが一般的です。StealCは、「Licence_Version_Loader.exe」のような意味のある名前と、ランダムに生成されたファイル名の2つを使用する戦略を取っています。対照的に、RiseProは、「MPGPH.exe」や「MSIUpdater.exe」といった特定の命名規則が繰り返し使われる点が特徴的です。

レポートの全文は、こちらからご覧いただけます。

インフォスティーラー感染のリスクを低減するために、Kasperskyは企業に対して以下の対策を推奨しています。

· Kaspersky Digital Footprint Intelligenceのように、サーフェスウェブ、ディープウェブ、ダークウェブ全体で組織のデジタル資産を監視し、脅威を検知する包括的なデジタルリスク保護サービスを導入すること。

· 自社の情報セキュリティ担当者が、自社を標的としたサイバー脅威を詳細に把握できるようにすること。最新のKaspersky Threat Intelligenceは、情報セキュリティ担当者にインシデント管理サイクル全体にわたる豊富で有意義なコンテクストを提供し、サイバーリスクを適時に特定できるよう支援します。

ユーザーレベルの感染対策としては、以下を推奨しています。

· ソフトウェアは公式かつ信頼できる提供元からのみダウンロードし、海賊版ソフトやクラックツール、アクティベーター、非公式のインストーラーは使用しないこと。

· すべてのコンピューターとモバイルデバイスで、カスペルスキープレミアムのような強力なセキュリティソリューションを使用すること。脅威の可能性について警告を発し、感染を防ぎます。

· 機密データをしっかりと管理すること。パスワードや復旧フレーズを写真フォルダーやメモ帳に保存することは避け、代わりに、Kaspersky Password Managerのような信頼できる専用のパスワード管理ツールを使用すること。

· ソフトウェアをインストールするときは、ウイルス対策ソフトやセキュリティツールを無効にしないこと。また、ゲームのMODやチート、サードパーティ製ツールをダウンロードする場合は注意を払うこと。

· オペレーティングシステムやアプリケーションは常に最新の状態に保ち、パスワードは強力で一意のものを使用すること。また、多要素認証が利用できる場合は必ず有効にすること。

Kasperskyについて

Kasperskyは1997年に設立されたサイバーセキュリティとデジタルプライバシーを専門とするグローバル企業です。「サイバーイミュニティ」というアプローチによって業界に革新をもたらし、これまでに10億台以上のデバイスを保護し、個人、企業、重要インフラ、政府機関をサイバー脅威から守っています。

Kasperskyは「Cybersecurity True to Business」（ビジネスに寄り添うサイバーセキュリティ）を掲げ、明確な成果の提供、収益の保護、業務負荷の軽減、ダウンタイムの防止に注力しています。また、高度な脅威インテリジェンスとセキュリティの専門知識を活かし、中小企業から大企業まであらゆる規模の組織を対象に、実績あるAI駆動型保護技術とシンプルな管理機能、専門的なサポートを組み合わせた革新的なソリューションとサービスを継続的に提供しています。

第三者機関によるテストでも高い評価を受け、何百万人という世界中のユーザーと約20万の組織から信頼されているKasperskyは、脅威の早期検知と迅速な対応を可能にし、より高い信頼性と自由度をもって運用できる環境を提供することで、お客様にとって最も重要なものを守ります。詳細については、www.kaspersky.com をご覧ください。