あなたのパスワードはどうやって盗まれるのか

パスワードを盗む専用のマルウェアを『インフォスティーラー』と呼びます。Lumma、StealC、RedLineといった種類があり、この3種類だけで感染の75%以上を占めています。

感染経路は身近なものばかりです。

  • 無料ソフトやゲームの海賊版をダウンロードした(最も多い感染経路)
  • 『請求書』『配送通知』を装ったメールの添付ファイルを開いた
  • 偽のソフトウェア更新画面でインストールボタンを押した
  • SNSやチャットで送られてきたリンクをクリックした

インフォスティーラーは感染すると数分以内にブラウザに保存されたパスワード、Cookie、クレジットカード情報、暗号通貨ウォレット情報を吸い出します。そして自分自身を削除し、痕跡を消します。あなたのPCには何も変化がないように見えます。

48時間でダークウェブの商品になる

2026年3月、セキュリティ研究機関Whiteintelが、インフォスティーラーの全ライフサイクルを詳細にマッピングした調査結果を発表しました。感染からダークウェブでの販売までの時間は48時間以内。多くの場合、それよりさらに短いとされています。

  • 感染直後(数分):ブラウザのパスワード、Cookie、自動入力データ、VPN設定、SSHキーを収集
  • 12〜24時間後:盗んだデータを『ログ』というパッケージに整理。認証情報、URL、デバイス情報を含む
  • 24〜48時間後:ダークウェブのマーケットプレイスやTelegramチャンネルで数ドル〜数十ドルで販売

KELAの2025年脅威インテリジェンスレポートによると、インフォスティーラーに感染したデバイスは2024年だけで430万台。盗まれたパスワードは39億件です。

パスワードを変えても安全ではない理由

インフォスティーラーはパスワードだけでなく、セッションCookieも盗む。Cookieがあれば、パスワードもMFAも不要でログインできる。

ブラウザで『ログイン状態を保持する』にチェックを入れると、セッションCookieが保存されます。インフォスティーラーはこのCookieを盗みます。攻撃者がこのCookieを使えば、パスワードも二段階認証も入力せずに、あなたとしてログインできます。

2026年4月1日に報告された新型インフォスティーラー『Storm』は、盗んだCookieをサーバー側で復号する技術を持ち、ChromeだけでなくFirefoxやWaterfoxのセッションも奪取できます。感染した1台の従業員のブラウザから、会社のSaaS、クラウド環境、内部ツールすべてに認証なしでアクセスできるようになります。

1億4940万件のパスワードが丸見えで放置されていた

2026年1月23日、セキュリティ研究者のJeremiah Fowler氏が、暗号化もパスワード保護もされていないデータベースに1億4940万件のログイン情報が保存されていることを発見しました。

  • Gmail:4800万件
  • Facebook:1700万件
  • Yahoo:400万件
  • Microsoft Outlook:150万件
  • Apple iCloud:90万件
  • Binance(暗号通貨取引所):42万件
  • その他、教育機関、政府システム、出会い系サイトの認証情報

これは単一の侵害ではなく、インフォスティーラーが世界中から収集したパスワードの集積です。あなたのGmailのパスワードがこの中に含まれていないという保証はありません。

自分のパスワードが売られているか確認する方法

  • メールアドレスが過去の漏えいに含まれていないかHave I Been Pwned等で確認する
  • 身に覚えのないログイン通知が届いたら即座にパスワードを変更する
  • ブラウザにパスワードを保存せずパスワードマネージャーを使う
  • 二段階認証を有効にする(ただしセッションCookie盗難には無力なので過信しない)
  • 『ログイン状態を保持する』のチェックを外し、定期的にセッションを切る
  • 無料ソフトや海賊版のダウンロードをしない
  • パスワードリセットのメールが身に覚えなく届いたら、そのアカウントを即確認する

まず確認すべきこと

『ログイン通知が来たけど、たぶん大丈夫だろう』。その判断が、アカウント乗っ取りの始まりです。まずメールアドレスの漏えい状況を確認し、パスワードが流出していないかチェックしてください。

Web検診のプライバシー診断では、メールアドレスの漏えいチェック、デジタルフットプリントの確認、プライバシースコアの算出を無料で行えます。

出典

Security Boulevard(48時間ライフサイクル): https://securityboulevard.com/2026/04/48-hours-the-window-between-infostealer-infection-and-dark-web-sale/

AlgeriaTech News(1.49億件DB・KELA報告): https://algeriatech.news/infostealer-malware-credential-theft-epidemic-2026/

Infosecurity Magazine(Storm新型インフォスティーラー): https://www.infosecurity-magazine.com/news/storm-infostealer-remotely/

F5(16 billion credentials): https://www.f5.com/company/blog/16-billion-credentials-exposed-why-this-infostealer-leak-demands-a-rethink-of-bot-defense