インフォスティーラーとは何か?
エンドポイント保護のない委託業者のノートパソコンが侵害され、クラウドデータプラットフォームの認証情報が漏洩し、攻撃者は一つのパスワードも解読する必要がありませんでした。これがインフォスティーラー問題を一文で表したものです。
インフォスティーラーは、感染したシステムから保存されたパスワード、セッションクッキー、暗号通貨ウォレットファイル、ブラウザの自動入力データなどの機密データを密かに抽出するために設計されたマルウェアのカテゴリです。インフォスティーラーは静かに動作し、実行、収集、流出、終了を迅速に行います。盗まれたデータは「スティーラーログ」と呼ばれる構造化されたアーカイブにまとめられ、地下マーケットで販売され、他の犯罪者がそれを購入して二次攻撃を仕掛けます。
ENISAレポートは、インフォスティーラーを「サイバー犯罪サプライチェーンにおける堅固かつ広範なリンク」と表現し、主に認証情報の窃取、セッションハイジャック、アクセス仲介を促進すると述べています。盗まれた認証情報は、ランサムウェアオペレーター、ビジネスメール詐欺キャンペーン、アカウント乗っ取り詐欺の初期アクセスとなります。つまり、インフォスティーラーインシデントは、マルウェアのクリーンアップだけでなく、セッションの無効化、認証情報のローテーション、振る舞い型エンドポイント保護が必要です。
インフォスティーラーはアイデンティティセキュリティとエンドポイント保護の交差点に位置します。ユーザーがブラウザに保存する認証情報、MFA完了を証明するセッショントークン、開発者がローカルファイルに残すAPIキーを標的とします。Verizon DBIRは、認証情報の悪用が初期アクセスと関連し、ランサムウェア被害者とインフォスティーラーによる認証情報流出の重複を指摘しています。
自社のSOCにとって、インフォスティーラーの発見は脅威モデルを即座に変化させます。これは単なるエンドポイントインシデントではありません。アカウント乗っ取り、ラテラルムーブメント、そして全く別の攻撃者によるランサムウェア展開の前兆です。これが可能となる理由は、インフォスティーラーの構造にあります。
インフォスティーラーの主要コンポーネント
現代のインフォスティーラーは、5つの機能コンポーネントを中心に一貫したアーキテクチャを共有しています。
- 配信メカニズム:フィッシングメール、マルバタイジングキャンペーン、トロイの木馬化されたソフトウェア、ClickFix/偽CAPTCHA攻撃など、ユーザーにWindows RunやPowerShell経由でコマンドを実行させる手法。例えばLumma Stealerキャンペーンでは、偽CAPTCHAページを使い、被害者にWindows Runダイアログでコマンドをコピー・実行させます。
- 認証情報収集モジュール:ブラウザ認証情報抽出は、Chromium系ブラウザのSQLite Login Dataデータベースを標的とし、AES-GCMやWindows DPAPIでパスワードを復号します。インフォスティーラーはパスワードマネージャー、メールクライアント、VPN設定、暗号通貨ウォレットからも認証情報を収集します。
- セッショントークン窃取:クッキーやセッショントークンの収集により、攻撃者はパスワードやMFAコードなしで認証できます。盗まれたクッキーはMFAが既に完了した証拠となり、完全にバイパスします。
- データのステージングと流出:盗まれたデータは構造化されたログにまとめられ、攻撃者が管理するC2サーバー、Telegramボット、Dropboxなどのクラウドストレージサービスに送信されます。 SentinelLabsレポートは、流出を高速化し販売プロセスを効率化するTelegramインフラの利用を記録しています。
- 解析回避とエバージョン:VM/サンドボックス識別、メモリからのファイルレス実行、プロセスインジェクション、解析ツールをクラッシュさせるファイルパディングなど。これらの手法は MITRE ATT&CK T1027(難読化ファイルまたは情報)に直接対応します。
全体の運用はMalware-as-a-Service(MaaS)ビジネスモデルで行われます。開発者はウェブパネル、ペイロードビルダー、Telegram上のカスタマーサポートチャネルを維持し、サブスクライバーが独立したキャンペーンを展開します。
インフォスティーラーの動作原理
インフォスティーラー攻撃は予測可能なキルチェーンに従いますが、各段階は発見までの時間を最小化するよう設計されています。
- 第1段階:初期実行。ペイロードは フィッシング、マルバタイジング、ソーシャルエンジニアリング経由で到達します。 SentinelLabsの調査では、ユーザーがHaihaisoft PDF Readerフリーウェアの署名済みコピーと悪意のあるDLLを含むアーカイブをダウンロードするキャンペーンが記録されています。
- 第2段階:認証情報収集。マルウェアはブラウザ認証情報データベース(T1555.003)を標的とし、ChromeのLogin Dataファイルに対してSQLクエリを実行し、保存されたパスワードを復号します。 Katz Stealerは特徴的な手法を記録しており、マルウェアがブラウザをヘッドレスモードで起動し、専用DLLを注入してブラウザ自身のセキュリティコンテキストで機密データにアクセスします。
- 第3段階:セッショントークン窃取。インフォスティーラーは認証済みセッションクッキー(T1539)をコピーし、攻撃者がそのセッションが有効なWebアプリケーションでユーザーをなりすますことを可能にします。一部の亜種は、アクセスの再生成や延長に役立つ他のトークンも盗み、パスワード変更だけでは攻撃者のアクセスを即座に無効化できない場合があります。
- 第4段階:補足的な収集。キーロギング(T1056)、暗号通貨アドレスやシードフレーズのクリップボード監視(T1115)、暗号通貨ウォレットファイルの窃取、被害者プロファイリングのためのシステムフィンガープリント収集。 SentinelLabs分析は、Vidarがランサムウェアなどの二次ペイロード展開前にシステム価値を評価するため、位置情報を収集していることを記録しています。
- 第5段階:流出と終了。データは暗号化チャネル経由でC2インフラに送信され、多くの場合正規サービスが悪用されます。マルウェアはその後クリーンに終了し、フォレンジックアーティファクトをほとんど残しません。この非永続的な実行モデルは意図的な設計であり、感染を発見した時点でマルウェアは既に消え、認証情報は販売済みです。
インフォスティーラーが止めにくい理由
インフォスティーラーが特に防御困難な理由はいくつかあります。
- MaaSモデルがスキル障壁を排除。非技術的なオペレーターでもサブスクリプション型サービスを通じて認証情報窃取ツールを展開できます。法執行機関による妨害後も、オペレーターは迅速に再構築し、市場は代替ファミリーに移行します。
- セッショントークン窃取によりMFAが不十分。インフォスティーラーはセッションクッキーの窃取を主要機能としています。MITRE ATT&CKは、APT29、Scattered Spider、Star Blizzard、LAPSUS$がT1539を用いてMFAをバイパスした事例を記録しています。インシデント後のパスワードローテーションでは、攻撃者が既に保持している有効なトークンは無効化されません。
- ポリモーフィックエバージョンがシグネチャベースのツールを回避。ファイルレス実行、メモリ内ステージング、プロセスインジェクションは静的防御を完全に回避します。業界レポートでは、AIを活用した大規模なフィッシングメール作成により、フィッシング経由のインフォスティーラー配信が増加していると記載されています。
- 正規プラットフォームの悪用による遮断不能なチャネル。インフォスティーラーはTelegram API、Dropbox、GitHub経由で流出します。これらのサービスを遮断すると業務に支障が出るため、ネットワーク層のフィルタリングではなく振る舞い分析に頼らざるを得ません。
これらの特徴は特定のツールに限らず、成長するインフォスティーラーファミリーのエコシステム全体で共有されています。
インフォスティーラーが盗むデータの種類
インフォスティーラーは、後続攻撃の各カテゴリを可能にするために選ばれた特定の高価値データタイプを標的とします。
- 保存されたパスワードとブラウザ自動入力データ。ChromiumやFirefox系ブラウザは認証情報をローカルのSQLiteデータベースに保存します。インフォスティーラーはこれらのデータベースに直接クエリを実行し、OS APIで保存パスワードを復号し、住所・電話番号・クレジットカード情報などの自動入力エントリを抽出します。これらの認証情報は、アカウント乗っ取りや企業SaaS環境でのクレデンシャルスタッフィング攻撃の原材料となります。
- セッションクッキーと認証トークン。有効なセッションクッキーは、ユーザーがMFAを含む認証を既に完了した証拠です。盗まれたクッキーにより、攻撃者は追加認証なしでセッションを再利用できます。これがインフォスティーラーがMFAを効果的にバイパスする主な理由の一つです。
- 暗号通貨ウォレットファイルとシードフレーズ。インフォスティーラーはwallet.datファイル、MetaMaskなどのウォレット拡張データをコピーし、クリップボードでシードフレーズやウォレットアドレスを監視します。暗号通貨の窃取は不可逆であり、地下市場で特に高価値な標的となります。
- システムフィンガープリントと環境データ。ホスト名、IPアドレス、インストール済みソフトウェア、実行中プロセス、ハードウェア識別子は、攻撃者が被害者をプロファイリングし、どの認証情報が高価値な企業環境に属するかを判断するのに役立ちます。 SentinelLabs分析は、Vidarがターゲット価値評価のために位置情報を収集していることを記録しています。
- メールクライアントおよびメッセージングアプリケーションデータ。ローカル保存のメール、チャットログ、OutlookやThunderbirdなどのクライアントからのアプリケーション認証情報は、攻撃者のアクセス範囲をブラウザ保存データ以外にも拡大します。盗まれたメール認証情報はビジネスメール詐欺に直接利用されます。
- VPNおよびRDP設定。保存されたVPNプロファイルやリモートデスクトップ認証情報は、単一エンドポイントを超えたネットワークレベルのアクセスを提供します。ランサムウェアオペレーターがスティーラーログを購入する際、VPN認証情報は企業ネットワークへの直接経路を提供するため、最も価値の高いエントリの一つです。
インフォスティーラーが標的とするデータの幅広さが、この分野で多様なマルウェアファミリーが競争し、それぞれがこれらデータタイプの異なる組み合わせに最適化している理由です。
主要なインフォスティーラーファミリー
インフォスティーラーのエコシステムは混雑しており、法執行機関の介入によりオペレーターが新たなツールに移行するため、急速に変化します。以下のファミリーは、WindowsおよびmacOSで最も記録されている脅威です。
Windowsインフォスティーラー
| ファミリー | 主な特徴 | 注目すべき詳細 |
| Lumma (LummaC2) | ブラウザ認証情報、暗号通貨ウォレット、2FA拡張機能。ClickFix/偽CAPTCHAやマルバタイジング経由で配信。 | 2025年5月に法執行機関と業界による協調的なテイクダウンの標的となったが、数週間でインフラが再構築された。 |
| RedLine | ブラウザデータ、FTP/VPN認証情報、暗号通貨ウォレット、システムフィンガープリント。地下フォーラムでMaaSとして販売。 | Operation Magnusが2024年後半にRedLineインフラを妨害したが、後継亜種が流通し続けている。 |
| Vidar | Arkei stealerのフォーク。幅広いブラウザ、暗号通貨ウォレット、メッセージングアプリを標的。ランサムウェアのドロッパーとしても使用。 | オペレーターはC2インフラをソーシャルメディアプロファイルやデッドドロップリゾルバで頻繁にローテーション。 |
| Rhadamanthys | バンキング認証情報、暗号通貨ウォレット、システムプロファイリング。SEOポイズニングやマルスパム経由で配布。 | プロセスホロウイングや多段ローダーなど高度な回避技術を使用。 |
| StealC | ブラウザ認証情報、拡張機能、ローカルファイルを標的とする軽量MaaSスティーラー。モジュール型プラグインアーキテクチャ。 | 2024~2025年の混乱後、Lumma/RedLineの代替として市場シェアを拡大中。 |
macOSインフォスティーラー
macOSインフォスティーラーの状況は2024年に急速に拡大しました。 SentinelLabsの調査は、Amos Atomic、Banshee Stealer、Cuckoo Stealer、PoseidonなどのファミリーがKeychain認証情報、ブラウザデータ、暗号通貨ウォレットを標的としていることを記録しています。これらのファミリーはAppleScriptを利用してパスワードダイアログを偽装し、ユーザーにログイン認証情報を入力させ、マルウェアがKeychainおよびシステム上の全保存パスワードにアクセスできるようにします。
ファミリーやプラットフォームに関係なく、盗まれた認証情報は同じ経路をたどり、地下市場やランサムウェアオペレーターの手に渡ります。
インフォスティーラーからランサムウェアへのパイプライン
インフォスティーラーと ランサムウェアの関係は、複数の独立した情報源で十分に記録されています。インフォスティーラーは2段階攻撃チェーンの第一段階として機能します。 SANS Instituteは、ランサムウェア脅威アクターが「通常、インフォスティーラーマルウェアで盗まれた認証情報を介して侵入し、初期アクセスブローカーがインフォスティーラーオペレーターとランサムウェアグループの仲介役を務める」と記載しています。
インフォスティーラー感染とランサムウェア展開の間には、観測されないラテラルムーブメントが発生するなど、意味のある期間が空くことがあります。インフォスティーラーの発見を低重要度のエンドポイントイベントとして扱うのは高くつく誤りです。すべてのインフォスティーラー発見は、認証情報の全範囲評価、ラテラルムーブメントのハンティング、事前構築済みの封じ込めプレイブックなど、ランサムウェア前兆プロトコルを発動すべきです。
これらのプロトコルを効果的に実行するには、インフォスティーラーが従来のセキュリティツールでなぜ検知困難なのかを理解する必要があります。
インフォスティーラーが従来の防御を回避する理由
インフォスティーラーは、他の多くのマルウェアカテゴリよりも防御が困難となる特有の構造的課題を持ちます。
- 暗号化された流出が通常トラフィックと混在。盗まれたデータはHTTPS経由で正規クラウドサービスに送信されます。一部の亜種はアーカイブを分割して、単一大容量ファイル転送に対応したDLPツールを回避します。ネットワークセキュリティスタックには通常の暗号化Webトラフィックに見えます。
- 短い実行ウィンドウでフォレンジック証拠が最小。非永続型インフォスティーラーはディスクにほとんど何も恒久的に書き込みません。メモリアーティファクトも上書きされます。エンドポイントアーティファクトではなく、ネットワークテレメトリや認証情報使用ログの調査が必要となります。
- 認証情報APIフックが正規プロセス内で認証情報を傍受。 MITRE ATT&CK T1056.001は、正規プロセスコンテキスト内で認証情報を傍受するAPIフックを記録しており、悪意のある挙動をプロセスレベルで通常のアプリケーション動作と区別しにくくしています。
- BYODの死角は構造的問題。 Verizon DBIRは、インフォスティーラーログに企業ログインが含まれる多くの侵害システムが管理外デバイスであったと指摘しています。Snowflake侵害はこれを直接示しており、 SANSの調査は、サードパーティ委託業者の個人ノートパソコンにアンチウイルスやEDRがなく、海賊版ソフトウェアの実行など私的活動にも使用されていたことを確認しています。
これらの回避優位性により、インフォスティーラー感染の発見は多くの場合、マルウェア自体ではなくその影響を検知することに依存します。
インフォスティーラー感染の検知方法
インフォスティーラーは迅速に実行・終了するよう設計されているため、感染の発見はマルウェア自体の捕捉ではなく、認証情報窃取の下流効果の認識に依存します。チームが監視すべき指標は以下の通りです。
- 企業認証情報がダークウェブマーケットで発見される。スティーラーログは窃取から数時間以内にRussian Marketなどで流通します。企業メールやドメイン認証情報の流出を継続的に監視することで、インフォスティーラーによるユーザー侵害の最速警告となります。
- SaaSやクラウドアプリケーションでの異常なセッション活動。予期しない地理位置からのログイン、新しいデバイスフィンガープリント、異なる地域からの同時セッションは、盗まれたセッショントークンのリプレイを示します。 アイデンティティテレメトリとエンドポイントデータの相関で、正当な出張とトークンリプレイを区別できます。
- ブラウザプロセスの異常なフラグでの起動。インフォスティーラーはリモートデバッグポートやヘッドレスモードでブラウザプロセスをフックします。
--remote-debugging-portや--headless flagsで非標準親プロセスからブラウザが起動された場合は信頼性の高い指標です。 - Telegram APIやクラウドストレージへの予期しない外部接続。通常これらサービスを使用しないエンドポイントから
api.telegram.org、Dropbox、GitHubへの流出は、アーカイブ作成やデータステージング活動と組み合わさると強力な振る舞い指標となります。 - EDRテレメトリでの認証情報アクセスパターン。 MITRE ATT&CK T1555.003(Webブラウザからの認証情報)や T1539(Webセッションクッキーの窃取)は、ブラウザ外プロセスが認証情報データベースやクッキーストアにアクセスした際に識別可能なテレメトリを生成します。
早期発見には、これらのシグナルをエンドポイント、アイデンティティ、ネットワーク層で相関させることが重要であり、単一指標への依存は避けるべきです。
インフォスティーラー防御でよくある誤り
成熟したセキュリティプログラムを持つ組織でも、インフォスティーラーインシデント対応で回避可能なミスを犯すことがあります。
- インフォスティーラー発見を孤立したエンドポイントインシデントとして扱う。感染を発見した時点で、盗まれた認証情報は既に別のアクセスブローカーの手に渡っている可能性があります。認証情報の無効化や ラテラルムーブメントハンティングを省略したエンドポイント対応は、下流の攻撃経路を開いたままにします。
- パスワードローテーションだけに依存する。パスワード変更では有効なセッショントークンは無効化されません。インフォスティーラーが認証済みクッキーを収集していれば、攻撃者は新しいパスワードでも有効なセッションを保持します。影響を受けた全アカウントでのアクティブセッション無効化が必要です。
- ダークウェブ認証情報監視を無視する。盗まれた認証情報は窃取後すぐにRussian Marketなどで流通します。企業認証情報の流出を監視しない組織は、窃取と下流アクターによる悪用の間の対応ウィンドウを失います。
- ブラウザを主要な攻撃面として軽視する。 CISAアドバイザリは、Raccoon StealerやVidarがログイン認証情報、ブラウザ履歴、クッキーを直接ブラウザから窃取していることを記録しています。ブラウザは主要な認証情報ストアであり、クラウドアプリケーションのセッショントークンリポジトリでもありますが、ブラウザ層のテレメトリを収集している企業はほとんどありません。
- 委託業者や開発者デバイスへのEDRカバレッジを省略する。開発者ワークステーションは本番シークレット、デプロイ認証情報、コード署名インフラにアクセスできる一方で、本番サーバーより監視が手薄です。これら環境へのエンドポイントカバレッジ拡張は、最も悪用されるギャップの一つを塞ぎます。
これらの誤りを避けることは必要条件ですが十分条件ではありません。体系的な防御戦略はインフォスティーラーのキルチェーン全体に対応する必要があります。
インフォスティーラー防御のベストプラクティス
多層防御戦略は、初期アクセスから流出までインフォスティーラーのキルチェーン各段階に対応します。
- フィッシング耐性認証を導入する。FIDO2/パスキー実装はサービスごとに一意の暗号認証情報を生成し、秘密鍵はユーザーデバイスから離れません。 パスワードレス認証が説明する通り、一つのサービスが侵害されても他で使える認証情報は得られません。まず本番システムにアクセスできる特権アカウントを優先してください。
- ブラウザ認証情報保存を無効化する。グループポリシーやMDMによるエンタープライズブラウザ管理ポリシーで、ブラウザによるパスワード保存を禁止します。ハードウェアバック暗号化を持つエンタープライズパスワードマネージャーの利用を徹底し、リモートデバッグフラグ(--remote-debugging-port)でのブラウザ起動をアラート化してください(インフォスティーラーによるブラウザプロセスフックの既知手法)。
- 振る舞い型AIエンドポイント保護を導入する。 macOSマルウェア調査は「動的解析を用いるセキュリティソリューションがより高い成功率を持つ」と明記しており、インフォスティーラーは配信難読化に関係なく平文でデコード・実行する必要があるためです。静的シグネチャは暗号化・ポリモーフィックペイロードに対して無力です。
- インシデント前に認証情報ローテーションプレイブックを構築・テストする。重要システムを停止させずにローテーションをどのように順序立てるか事前に定義してください。インシデント下でのアドホックな認証情報ローテーションは一貫して遅すぎます。プレイブックにはネットワーク隔離、感染タイムライン特定、アクセス可能な全認証情報の完全ローテーション、アクティブセッション無効化、全滞留期間のアクセスログレビューを含めてください。
- 高リスクパスからのプロセス実行を制限する。アプリケーション制御ポリシー(WDAC、AppLocker、macOS MDMプロファイル)で、Downloads、Temp、ユーザープロファイルディレクトリからの署名なし実行ファイルをブロックします。これらの制御は開発者ワークステーションやCIランナーにも拡張してください。
これらの実践は攻撃対象領域を縮小しますが、予防を回避するインフォスティーラーを阻止するには、エンドポイント・アイデンティティ・ネットワークテレメトリをリアルタイムで連携させるプラットフォームが必要です。
重要なポイント
インフォスティーラーは認証情報を窃取するマルウェアであり、静かに動作し、パスワードやセッショントークンを迅速に流出させ、ランサムウェア、アカウント乗っ取り、金融詐欺を支える犯罪経済に供給します。MFAだけではセッショントークン窃取を防げません。ブラウザ認証情報ストアが主な標的です。
すべてのインフォスティーラー発見は、認証情報の無効化、ラテラルムーブメントハンティング、ランサムウェア前兆プロトコルを要求します。振る舞い型 AI保護、 アイデンティティ保護、事前構築済みの対応プレイブックが防御の基盤となります。
よくある質問
インフォスティーラーは、感染したシステムから保存されたパスワード、セッションCookie、ブラウザの自動入力データ、暗号通貨ウォレットファイルなどの機密データを密かに抽出するように設計されたマルウェアです。
インフォスティーラーは盗み出したデータを構造化されたログにまとめ、アンダーグラウンドマーケットで販売します。他の犯罪者は収集した認証情報を利用して、ランサムウェア、アカウント乗っ取り、ビジネスメール詐欺などの二次攻撃を実行します。
インフォスティーラーは、悪意のある添付ファイルを含むフィッシングメール、マルバタイジングキャンペーンによるペイロードホスティングサイトへのリダイレクト、トロイの木馬化されたソフトウェアのダウンロード、Windowsの「ファイル名を指定して実行」やPowerShellにコマンドを貼り付けさせるClickFix攻撃などを通じてエンドポイントに到達します。一部のキャンペーンでは、人気ソフトウェアの偽ダウンロードページを検索結果の上位に表示させるSEOポイズニングも利用されています。
Malware-as-a-Serviceモデルにより、最小限の技術力しか持たないオペレーターでも、サブスクリプション型プラットフォーム上の既製ペイロードビルダーを利用して配布キャンペーンを展開できます。
一般的なインジケーターには、企業の認証情報がダークウェブのマーケットプレイスに出現すること、予期しない地理的ロケーションや新しいデバイスフィンガープリントからのログイン、--remote-debugging-portのような異常なフラグでブラウザプロセスが起動されること、Telegram APIやクラウドストレージサービスへの予期しない外部接続、EDRテレメトリ内でブラウザデータベースやクッキーストアを標的とした認証情報アクセスパターンなどが含まれます。
インフォスティーラーは迅速に実行・終了するため、感染の発見はマルウェアの実行中に検知するのではなく、これらの下流の影響を認識することに依存する場合がほとんどです。
インフォスティーラーはMFAを突破するのではありません。MFAが正常に完了した後に発行されたセッションクッキーを盗みます。攻撃者がそのクッキーを再利用すると、対象アプリケーションはすでに認証されたセッションと見なし、MFAの再入力を求めずにアクセスを許可します。
FIDO2/パスキー認証は、再利用可能な共有シークレットではなく、サイトごとに固有の暗号化認証情報を生成するため、パスワードリプレイ攻撃に耐性があります。
インフォスティーラーは、アクセスブローカーがランサムウェアオペレーターに販売する認証情報を収集します。SANS Instituteの文書によると、ランサムウェアグループは通常、インフォスティーラー由来の認証情報を通じて初期アクセスを獲得しています。
インフォスティーラー感染とランサムウェア展開は、時間的に分離されており、全く異なる脅威アクターによって実行されることが多いです。
LummaやRedLineに対する法執行機関の介入後、エコシステムは急速に変化しました。Vidar、StealC、Acreed、Rhadamanthysが、現在のレポートで活動的または台頭しているファミリーとして言及されています。
MaaSモデルにより、1つのファミリーが妨害されると、後継の開発と普及が加速します。
はい。SentinelLabsの調査では、Amos Atomic、Banshee Stealer、Cuckoo Stealer、PoseidonなどのmacOSインフォスティーラーが記録されています。これらのファミリーは、キーチェーン認証情報、ブラウザデータ、暗号資産ウォレットを標的としています。
エンタープライズのmacOSデバイスにも、Windowsシステムと同様の振る舞い型エンドポイント保護が必要です。
影響を受けたエンドポイントを隔離し、感染のタイムラインを特定し、そのデバイスからアクセス可能なすべての認証情報をローテーションし、すべてのアクティブなセッションを無効化し、全滞留期間にわたるアクセスログを確認してください。単なるエンドポイントの封じ込めイベントとして扱わないでください。
窃取された認証情報を用いたラテラルムーブメントを調査してください。
