※ 本ブログは、2025年12月11日にHP WOLF SECURITY BLOGにポストされた Attackers Love Cookies: Tracing the Rise of Breaches Involving Session Cookie Theft の日本語訳です。

本記事では、盗まれたセッションCookieを悪用した侵害という脅威の増加傾向について考察します。この種の攻撃を促進する要因、その影響、そして企業が防止のために実施できる防御策について検証します。

今日、システム管理が企業の境界内にある固定端末から行われることは稀です。HPワークリレーションシップ・インデックス2025 によれば、現在従業員の5人に1人がオフィス、自宅、モバイル環境をまたいで柔軟に働いています。[1] 同時に、多くの企業は中核インフラをクラウドに移行しました。Microsoft Entraなどのプラットフォームがオンプレミスのドメインコントローラーに取って代わり、VPNやRDPセッションを廃止し、Webブラウザを用いた管理を実現しています。

従来、企業ネットワークは通常、ドメインコントローラーなどのサーバーにリモート接続する端末から管理されていました。この方法により、システム管理者はユーザーとコンピューターの管理、グループポリシーの定義と編集、メールサーバーやDNSサーバーの管理を行っていました。関連するサーバーの大半は同一ネットワーク内に存在し、城と堀に例えられる境界防御によって外部からの攻撃から保護されていました。

しかし、攻撃者がネットワークに侵入した場合、ラテラルムーブし、最終的にはドメインコントローラーなどの重要なサーバーを侵害してネットワークを掌握する可能性があります。このリスクに対応するため、Microsoftは重要なサーバーを管理するベストプラクティスとして階層モデルを導入しました。これはITシステムの管理レベルを論理的に分離する手法です。これを実装する標準的な方法は、2つのデバイスを使用することです。重要な管理タスクには特権アクセスワークステーション（PAW）を、その他のすべての操作には別のデバイスを割り当てます。これによりアタックサーフェスが最小化され、侵害された環境内での攻撃者のラテラルムーブの機会が削減されます。

一方、Webブラウザを用いた管理は、システム管理者にとってはるかに便利なものになりました。しかし、ブラウザへの移行によって管理レベルの分離が不要になったわけではありません。パスワードレス認証や多要素認証（MFA）といった他のセキュリティ対策も有用ではありますが、最終的には強力な権限分離に代わるものではありません。

攻撃側においては、脅威アクターが組織に侵入する手法に変化が見られます。認証情報を盗むのではなく、攻撃者は認証Cookieの窃取に焦点を当てるケースが増加しています。この攻撃では、脅威アクターは認証情報を盗んだり多要素認証（MFA）を回避したりする必要がなくなります。代わりに、標的ユーザー（例：システム管理者）がログインしていることを証明するブラウザのCookieを入手するだけで十分です。これを取得すれば、実質的にそのユーザーの権限とアクセス権を掌握することになります。

防御側がこの脅威を理解しているセクター、例えば重要インフラセクターでは、PAWのような強力な技術的ソリューションへの需要が高まっています。同時に、規制要件の整備が進むことで、ベストプラクティスのセキュリティ対策を義務付ける管理策が導入され、安全なリモートシステム管理には独立したデバイスが必要となるケースが増えています。これにより、コスト、セキュリティ、使いやすさの間の対立が深まっており、この脅威のトレンドが進行するにつれ、トレードオフはさらに拡大する見込みです。

脅威アクターが認証情報を入手する一般的な方法は、盗難（例：フィッシング）または推測（例：ブルートフォース攻撃）の2つです。攻撃者は、ログイン情報を入手するために、標的を絞った巧妙なフィッシングキャンペーンを実施します。この情報はその後、ハッキングマーケットプレイスで販売されるか、様々なシステムへの不正アクセスを得るために使用されます。こうした認証情報の多くは、他の脅威アクターが安価に購入できるため、システムへの初期アクセスを得るためのスキルやリソースの入手が驚くほど容易になっています。

盗まれた認証情報は攻撃者の間で広く利用されています。Verizonの「2025年度データ漏洩/侵害調査報告書（DBIR）」によると、Webアプリケーション（オンラインバンキングやシステム管理ツールなど）に対する攻撃の88%で盗まれた認証情報が使用されました。[2] 毎日、数千件の盗まれた認証情報がハッキング市場で取引されており、平均10米ドルで販売されています。[3]

場合によっては、これが侵害の最終段階となることもありますが、他のケースでは、より大規模で複雑なネットワーク侵入の最初の段階に過ぎないこともあります。

認証情報の盗難に対する効果的な防御策として、多要素認証（MFA）が挙げられます。これは通常、認証が二段階で行われることを意味します。まず、ユーザー名やパスワードといった有効な認証情報でログインする必要がありますが、これに加えて設定済みの第二要素も必要となります。第二要素には様々な形式があり、最も一般的なものとしては、時間ベースのワンタイムパスワード、SMSコード、携帯電話へのプッシュ通知による承認、ハードウェアセキュリティキー、またはEメールによる確認などが挙げられます。

攻撃者はこの第二要素にアクセスできないため、ログイン認証情報が漏洩した場合でも、システムへの不正アクセスは不可能です。ただし、MFAは万能の解決策ではありません。盗まれたセッションCookieを用いた攻撃に対しては防御できないためです。

ユーザーがシステムにログインするたびに、そのユーザー向けの認証セッションが開かれます。このセッションは、システムとのやり取り中にアクティブなログイン状態を維持するために使用されます。開かれた認証セッションをクライアント側に保存するには、様々な方法が利用可能です。例えば、セッションはユーザーの端末上でlocalStorage、sessionStorage、またはCookieとしてローカルに保存することが可能です。アクティブなセッションをCookie形式で保存することは標準的な手法であり、ほとんどのWebアプリケーションで採用されています。これは、CookieがすべてのHTTPリクエスト時に自動的にサーバーへ送信されるため、手動でのセッション管理が不要となるからです。

攻撃者が認証Cookieを不正に入手した場合、アクティブなセッションを乗っ取り、システムへの不正アクセスが可能となります。これにより、攻撃者は元のユーザーと同等のシステムアクセス権限を取得します。したがって、ユーザーがMicrosoft Entra管理者の場合、攻撃者は組織全体に対する重要な権限を取得する可能性があります。このような状況下では、攻撃者はセキュリティ制御を弱体化または回避し、昇格した権限を取得したり、永続的なバックドアを設置したりする恐れがあります。

ユーザーは既に認証済みであり、攻撃者は単にアクティブなセッションを乗っ取っただけのため、MFA（多要素認証）ではこのケースの保護は提供されません。実際、記録されているインシデントにおいて、攻撃者がMFAを回避しMicrosoft 365サービスへのアクセスを得るために最も頻繁に使用された手法は、トークンの窃取（31%）でした。[4]

脅威アクターがセッションCookieを不正取得する一般的な手法として、インフォスティーラーの使用が挙げられます。攻撃者はエンドポイントをマルウェア感染させることで、セッションを直接乗っ取ってコマンドをインジェクションするか、システムから関連するアクティブなCookieを抽出して攻撃者が管理するサーバーへ持ち出すことが可能になります。

2025年第3四半期に公開された攻撃データによると、配布されたマルウェアの大半はインフォスティーラーでした。配布された上位30のマルウェアファミリーのうち、過半数（57％）がインフォスティーラーです。さらに、特定されたマルウェアの27％はリモートアクセストロイの木馬（RAT）で、これらはセッションCookie窃取機能を備えていることが多くあります。

Lumma Stealer は現在非常に活発に活動しているマルウェアファミリーで、インフォスティーラーの生態系におけるその規模と影響は甚大です。[6] このマルウェアは古典的なインフォスティーラーで、WebブラウザのセッションからCookieを抽出し、攻撃者が制御するサーバーへ持ち出すことが可能です。2025年3月から5月にかけて、Microsoftは世界中で394,000台以上のWindowsコンピュータが本マルウェアに感染していることを確認しました。

5月中旬、ユーロポールとその国際パートナーは協調的なテイクダウン作戦を実施し、マルウェアのインフラを破壊するとともに、その運用の中核を成す約1,300の悪意あるドメインを押収しました。ただし、こうした破壊作戦は一時的な効果しか持たないことが多く、Lumma Stealer の場合も同様でした。[7] マルウェアの活動は2025年7月に再開されており、攻撃者がインフラを再構築し、マルウェアの配布を再開したことを示唆しています。

パスワードと比較すると、セッションCookieの有効期間ははるかに短くなっています。Cookieの種類によって有効期限は異なり、数時間から数日、あるいは数週間まで様々です。しかし、これはシステムへのアクセスを狙う攻撃者にとってCookieが魅力的でない標的だという意味ではありません。むしろ、攻撃者は迅速に行動し、ハッキングマーケットプレイスを通じてCookieを即座に転売する傾向があります。マーケットプレイスで販売された認証情報の65%は、盗難から1日以内に広告掲載されていました。[8]

したがって、このようなCookieが侵入で積極的に利用されることは驚くべきことではありません。Verizonの調査によれば、分析対象となったランサムウェア被害事例の過半数（54%）において、被害組織のドメイン名がまずインフォスティーラーのログやハッキングフォーラムに登場していました。[9] もちろんこれは直接的な相関関係とは言えませんが、システムへの初期アクセス手段としてインフォスティーラーが果たす役割を示唆するものです。

2024年9月、オランダ国家警察は、攻撃者が複数の警察官の連絡先情報を盗んだと発表しました。この攻撃の調査により、攻撃者はセッションCookieを利用してシステムにアクセスしたことが明らかになりました。[10] これらのCookieは、以前に行われたインフォスティーラーキャンペーンで盗まれた後、マーケットプレイスを通じて転売されていたものでした。

別の報告された事例では、同様の手法により攻撃者がElectronic Arts(EA) の機密システムへのアクセス権を取得しました。[11] 2021年6月、EAは重大なサイバーセキュリティ侵害を経験し、ハッカーが約780GBのデータ（FIFA 21のソースコードやBattlefield、Star Wars: Squadrons、Anthemなどのタイトルで使用されているEA独自のゲームエンジンFrostbiteのソースコードを含む）を窃取しました。

悪意のある攻撃者は、まずGenesisと呼ばれるダークWebのマーケットプレイスで、$10 USDで売り出されていた盗まれた認証Cookieを購入しました。そしてこの認証Cookieを使用して、既にログイン済みのEA従業員のアカウントを乗っ取り、EAのSlackインスタンスにアクセスしました。さらに、ITサポートスタッフを騙して、会社の内部ネットワークへのアクセス権を許可させました。

このようなインシデントは、企業がセッションCookieの盗難から身を守る重要性を浮き彫りにしています。

組織がセッションCookie窃取攻撃から身を守るために実施できる対策があります。Cookieに対する攻撃には、以下の2つのタイプがあります：

1. セッションCookieの窃取と、その後の転売。
2. コマンドインジェクションによる、感染デバイス上のセッションCookieの直接的な悪用。

シナリオに応じて、異なるセキュリティ対策が必要となります。Cookieの持ち出しと転売という最初のシナリオにおいては、組織にはいくつかのオプションがあります：

• アクティブなセッションを特定のコンテキストに紐付ける。これにより、アクティブなセッションは定義されたコンテキスト内でのみ許可され有効性の維持をします。コンテキストとしては、ユーザーのデバイス、IPアドレス、ユーザーエージェント、さらには地理的位置情報が利用可能です。これにより、盗まれたセッションCookieが別のデバイスで使用されることを防止し、攻撃を制限します。
• セッションの有効期間を最小限に短縮する。これは、設定された期間およびユーザーの非アクティブ状態後にCookieを無効化し、システムに戻った際にユーザーに再認証を求めることを意味します。もちろん、これによりユーザーの利便性は低下しますが、Cookieが盗まれて再利用される可能性も低減されます。
• 機密性の高い操作には再認証を必要とすべきです。具体的には、新しい管理者の追加、パスワードの変更、特に機密性の高いデータへのアクセスなど、特定の操作に対して再認証を要求する。これにより、ユーザーは関連する機能やデータにアクセスする際、パスワードと第二要素による認証を再度行ってシステムにログインする必要があります。この措置により、攻撃者が盗んだセッションCookieを悪意のある目的に利用する可能性を制限できます。

しかし、攻撃者がエンドポイントを侵害し、そのアクセス権限を利用して直接コマンドをインジェクションした場合、攻撃者は既に特権システムにアクセスするエンドポイントを制御しているため、上記の対策は効果がありません。このような状況において、有効な技術の一つがハードウェアによるアプリケーション隔離です。

たとえPCが侵害された場合でも、HP Sure Access Enterpriseのようなソリューションを活用することで、セッションCookieの窃取に対する保護を行うことが可能です。これらのソリューションは、エンドポイント上で堅牢なアプリケーション隔離を適用します。[12] これは、特権アプリケーションや機密データへのアクセスを、デバイスの他の部分から隔離することを意味します。これにより、攻撃者がCookieを外部に持ち出したり、コマンドインジェクションを通じて感染システム上でCookieをインタラクティブに使用したりすることを防止できます。

ハードウェアによるアプリケーション隔離は、PAW（特権アクセスワークステーション）などの別個のデバイスを使用する場合にのみ実現可能な、強力な権限の分離を実現します。実際の運用では、組織はPAWソリューションの権限分離の利点を享受しつつ、複数デバイス使用に伴う課題、すなわちコストの高さや管理の難しさといった問題点を回避できます。Sure Access Enterpriseは特権アクセスシナリオやワークフロー向けに設計されており、例えば条件付きアクセスやクライアント証明書のサポートを通じて、機密リソースへのアクセスに対してその利用を強制します。

長年にわたり、HPはハードウェアで強制されるアプリケーション隔離技術に投資してきました。この技術により、重要なアプリケーションやデータをシステム内の他の部分から隔離することが可能です。Sure Access Enterpriseは特権アプリケーションをマイクロ仮想マシン内で起動し、ホストシステムから完全に隔離します。しかしながら、ユーザーはあたかもホスト上でネイティブアプリケーションを実行しているかのように、快適にアプリケーションを操作することが可能です。これにより、ユーザーはMicrosoft Entraを安心して管理でき、攻撃者がアクティブなセッションを乗っ取ることを恐れることなくオンライン決済を行うことも可能となります。

セッションCookieの窃取は、企業にとって深刻な脅威となっています。ハイブリッドワークへの移行やブラウザベースの管理環境の普及によりアタックサーフェスが拡大し、脅威アクターはパスワードや多要素認証に触れることなく特権サービスを乗っ取る新たな手法を獲得しました。コンテキストバインディングやセッション有効期間の短縮、再認証といった対策は有効ですが、エンドポイントが侵害された場合にはこれらの対策だけでは不十分です。

防御側は侵害を前提とすべきです。ミッションクリティカルなアプリケーションとデータを保護するには、マルウェアが存在する場合でも機能する対策が求められます。ハードウェアで強制されるアプリケーション隔離は、機密性の高いワークフローをホストから分離し、攻撃者からセッションへの経路を遮断することでそれを保証します。

[1] 2025 HP Work Relationship Index
[2] 2025年度データ漏洩/侵害調査報告書, p. 52
[3] 2024年度データ漏洩/侵害調査報告書, p. 44
[4] 2025年度データ漏洩/侵害調査報告書, p. 47
[5] MalwareBazaar – Abuse.ch
[6] Lumma Stealer, Software S1213, MITRE ATT&CK – MITRE Corporation
[7] Europol and Microsoft disrupt world’s largest infostealer Lumma – Europol
[8] 2024年度データ漏洩/侵害調査報告書, p. 45

[9] 2025年度データ漏洩/侵害調査報告書, p. 57
[10] AIVD and MIVD identify new Russian cyber threat actor – AIVD, May 2025
[11] Review of the Attacks Associated with Lapsus$ and Related Threat Groups – CISA, July 2023
[12] Sure Access Enterprise for Privileged Access Workstations – HP

Author : Patrick Schläpfer

監訳：日本HP