Stormインフォスティーラー、ブラウザセッション乗っ取り　認証情報窃取とMFA回避

Stormインフォスティーラーの攻撃手法と特徴

新たに確認された「Storm」インフォスティーラーは、ブラウザデータをローカルで復号せず、そのまま外部サーバーへ送信する手法を採用している。Varonisの分析によれば、送信されたデータはサーバー側で復号処理が行われ、ブラウザセッションの乗っ取りにつながる挙動が確認されている。

この手法により、攻撃者はパスワードや多要素認証を回避する可能性がある。従来のインフォスティーラーがローカルでの取得・復号を前提としていたのに対し、「Storm」はブラウザクッキーやセッション情報を直接取得し、不正アクセスに利用する構成となっている。

サーバー側復号と対応のポイント

「Storm」はサーバー側での復号処理を前提とした構成を持ち、ローカル環境に依存せずデータ操作を行う点が特徴とされる。この手法により、ブラウザベースの認証情報やセッション情報が外部環境で処理され、不正アクセスにつながる可能性がある。

こうした挙動に対しては、ブラウザ通信およびサーバー側アクセスの監視強化が重要となる。特に異常な通信パターンや認証試行の検知など、セッションレベルでの監視体制の見直しが求められる。

また、本件は既存の認証モデルやデータ保護の前提に影響を与える可能性があり、継続的な対策の更新が必要とされる。