Webブラウザ利用者が知らずに犯してしまう「ルール違反」とは？：半径300メートルのIT

インフォスティーラー（情報窃取型マルウェア）が流行しています。このマルウェアは基本的な対策だけでは防ぐのがなかなか難しい厄介なものです。特に従業員のWebブラウザの利用次第で感染を拡大させるリスクも……。詳細を解説します。

[宮田健，ITmedia]

　従業員がマルウェアやフィッシングメールに引っ掛かっても、責任は個人ではなく組織にあります。「人はだまされる」という前提での対策が必要であり、個人に責任を押し付けることはあってはなりません。

　その上で、従業員個人は、組織が定めたルールに従い、できる限りの対策を講じる必要があると思っています。今回はここ最近注目が集まる、インフォスティーラー（情報窃取型マルウェア）への対策を考えていきたいと思います。

基本的な対策では足りない？　流行中のインフォスティーラーの脅威

　インフォスティーラーとはマルウェアの一種で、狙うのは「認証情報」そのものです。これまでもID／パスワードのセットは、サイバー攻撃者が狙う重要な情報でした。サイバー犯罪者は分業が進んでおり、認証情報のみを取り扱うイニシャル・アクセス・ブローカー（IAB）がブラックマーケットで情報を販売しています。

　最近はその取扱商品として、認証済みのクッキー情報なども含まれるようになりました。この情報は「既に認証が完了した」という状態を得られるため、二要素認証を取り入れたとしても、不正になりすましログインが完了している状況を作り出せてしまいます。では、これにどう対策を講じればいいのでしょうか。

　アイティメディア主催のイベント「ITmedia Security Week 2024」で講演した「セキュリティのアレ」のリサーチャー3人も、この認証情報に関して警鐘を鳴らしており、ID／パスワードを正しく運用すること、多要素認証を導入すること、セキュリティ証明書を導入することを対策として提唱しています。

　しかし彼らは「それでもインフォスティーラーのように、認証済みの情報を奪って悪用する攻撃については防げない」と指摘しています。特に昨今のインシデントでは、侵入された原因が特定できないというレポートが増えています。恐らくは、インフォスティーラーなどのマルウェアで奪われた認証情報が、のちに別の攻撃者に販売され、相当時間がたった後に実際の攻撃が実行されているのではないかと推察されています。そのタイミングでは、もう認証情報が奪われたときのログは残っていないでしょう。

　根本的な対策としては、そもそもインフォスティーラーという“マルウェア”そのものの対策を講じることに加えて、IDaaSを活用し、セッションの有効期間を短くすることなどが挙げられます。IDaaSが使えない場合も、セッションの有効期間を短くする、明示的にログアウトするなどが対策になるでしょう。

インフォスティーラーの被害を拡大させるWebブラウザのマズイ使い方

　インフォスティーラーについては、もう一つ注意すべきポイントがあります。それはWebブラウザの使い方に起因するものです。

　テレワークが実施される以前より、電子メールだけは「Google Chrome」（以下、Chrome）の「プロファイル」機能を使って自宅のPCで見ていたという方もいるでしょう。問題は、この利用方法がインフォスティーラーの登場でリスクが飛躍的に高まっている点にあります。

　ChromeなどのWebブラウザでは、設定情報を同期できる機能があります。これによって同じアカウントを利用している全てのPCで、ブックマークや履歴などを同期して同じ環境で利用できます。バックアップとしても働くので、個人にとっては大変便利なものだと思います。

Chromeを使うときに最初に設定するであろう「同期」機能（出典：筆者のGoogle アカウント設定画面）

　問題はこの同期機能を「自宅のPC環境」で「組織のアカウント」を同期したときです。会社の電子メールを見る際に、自宅のWebブラウザのプロファイルを作り、ブックマークやパスワードなど環境そのものを同期させている方も多いでしょう。しかしこの同期機能は、認証情報などもローカルのPCに置くため、万が一個人環境でインフォスティーラーに感染した場合、組織のアカウントのプロファイルに保存した情報も奪われる可能性があります。

　この点についての技術的な挙動は、マクニカの「セキュリティ研究センターブログ」で解説されています。こちらの結論もインフォスティーラーそのものの完全な対策は難しいとしつつ、「私用端末と業務用端末ではブラウザ同期を行わない（被害範囲を広げないため）」ことを推奨しています。ぜひ、チェックしてみてください。

Webブラウザ機能拡張も、組織アカウントでは極力使わない

　この他、Webブラウザの機能拡張に対しても、そのリスクを再考する時期に来ています。便利な機能拡張は確かに存在しますが、その機能拡張のインストール数が多いものを狙う攻撃者がおり、悪意あるコードが混入される事件も度々報じられています。

　最近ではWebブラウザの機能拡張だけでなく、開発環境として人気の高いエディターにも同様の攻撃が仕掛けられています。Webブラウザの機能拡張はセキュリティ対策としてルールをさらに厳密にしていますが、それを見越した偽機能拡張も登場しており、混迷を深めています。

　こうなると、少なくとも組織で利用するアカウントやWebブラウザについては、許可されていない機能拡張はインストールしないことを徹底するしかありません。実際のところ、これは大昔から言われていたことではないかとは思いますが、この部分をコントロールしていない組織も多く、曖昧（あいまい）に運用されていた部分かと思います。進んでいる企業はWebブラウザの環境も資産管理の一つと捉えているはず。それを徹底しなくてはならない時期が来ました。

　特にWebブラウザは認証・認可の鍵であり、ネットワークの入り口と捉えてください。もう一段階、数段階危機レベルを上げる必要があります。

狙われているのはあなた自身だからこそ

　そしてその危機レベルを上げるのは、従業員本人に他なりません。この部分は恐らく、セキュリティ担当レベルではルールが設定されていて、従業員にも伝えられていたはずのこと。それをさらに厳密に運用し、認証を奪われ内部に侵入されるリスクを少しでも減らさなければなりません。そのためには、まずあなたのWebブラウザ設定において、機能拡張を使わないこと、個人PCでは同期機能を使わないこと（使っていた場合はプロファイルに基づくデータを全て削除すること）、そして基本的なセキュリティ対策、ルール運用を徹底することしかありません。

　……かくいう私も、組織のプロファイルを同期していたので急いで削除した次第です（パスワードは同期していなかった、と言い訳を……）。今からでも遅くはありませんので、ぜひ、できる対策を実行してみてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。