こんにちは。
Infostealer（インフォスティーラー）と呼ばれるマルウェアをご存知でしょうか。 Infostealer は感染した端末から個人情報や認証情報を盗むことに特化したマルウェアです。

感染経路は多岐にわたり、偽のソフトウェア配布サイトやスパム メールに添付された実行ファイル、Web サイトの広告などさまざまな経路で端末に侵入します。窃取した機密情報は直接攻撃に使用されるだけでなく、ブラックマーケットで売買されることでさらなる被害の呼び水にもなってしまいます。

本記事では、上記のような攻撃に対して、Microsoft Defender for Endpoint の EDR が適切に機能し、弊社のセキュリティ監視・運用サービスである NR Automate Security（NRAS）によって早期の隔離と状況把握がおこなえた事例をご紹介します。

■ 3つのポイント

① 攻撃であると気づくことが困難であった

該当のメールの件名や本文には、お客様の業務に強く関連するキーワードが含まれており、一見して攻撃であると判別できないほど巧妙なものでした。

そのメール内の URL をクリックしたことをきっかけに、利用者が意図しない攻撃用のファイルのダウンロードおよび実行が発生しました。（ダウンロードおよび実行されたファイルはファイルを解凍するためのアプリケーションに見せかけられていたと考えられます）

② 不審な挙動を EDR が早い段階で検知できた

攻撃ファイルが実行された直後、利用者が異変に気づく前の段階で、EDR が不審性を検知して複数のアラートを生成しました。

EDR によって、単一のイベントだけでなく連鎖的に発生する挙動を相関して検知できたことで、利用者からの申告を待たずに初動対応へ移行できました。

③ 自動的に端末が隔離され、影響拡大を防止できた

アラート発生から約 6 分後には、NR Automate Security（NRAS）の自動対応により該当端末はネットワークから自動的に隔離されました。

そのため、端末を隔離した状態で慎重に状況の把握をおこなうことができました。

■ 何がおこったか

ユーザーは業務に関係する件名のメールを受信し、内容を確認するためにメール内のリンクをクリックしました。リンクを開いたところ攻撃用の実行ファイル（Setup.exe）がダウンロードされ、それを実行したことで複数のプログラムが連鎖的に実行されました。この時点では、利用者自身に「不審なファイルを実行した」「危険な操作をした」という明確な認識はありません。

しかし、端末上では、以下のような攻撃が進行していました。

・キーボード入力監視（キーログ挙動）

Windows の WH_KEYBOARD_LL（低レベルキーボードフック） を設定し、キーボード入力を監視しようとしました。 ユーザーのキーボード入力を監視することで、攻撃者はパスワードやクレジットカードなどの機密情報を取得できるようになります。

・Web ブラウザに保存されている機密情報へのアクセス

Web ブラウザに保存された機密情報（パスワードや Cookie など）にアクセスし、それらの情報を復号（decrypt）しようとした挙動が確認できました。 これは、資格情報の取得（Credential Access）に分類される攻撃です。

・端末再起動後も継続動作するための設定変更

「Software\Microsoft\Windows\CurrentVersion\Run」配下のレジストリが変更されました。 これは、端末再起動後も利用者が操作しなくても同じプログラムを実行させることを目的とした操作で、永続化（ASEP：Auto Start Extensibility Point）に分類される攻撃です。

もしも、攻撃に気づいて対処することが出来なければ、ユーザーが知らない間にパスワードや Cookie などの認証情報が漏えいし、組織の機密情報が流出したり、クレジットカードが不正利用されたりといった実被害に繋がっていた可能性が高い状況でした。

■ NRAS でできること

今回の事例では EDR がこれらの挙動を早い段階で不審と判断し、複数のアラートを発生させました。 さらに、アラート発生から約 6 分後には、 NR Automate Security（NRAS）の自動対応により該当端末はネットワークから隔離されました。 早期にネットワークから隔離できたことで、その後の外部との不正な通信をブロックでき、他の端末・システムへ影響が広がる前に脅威を抑え込むことができました。

：

業務を装った巧妙なメールを起点とした攻撃は、誰でも巻き込まれる可能性があります。しかし、利用者側で攻撃の被害に気づくことが難しい場合であっても、EDR による保護とアラート監視を組み合わせることで、安心して業務に取り組める環境を提供できます。

弊社の NR Automate Security（NRAS）では、リスクが高い端末を自動的に隔離するだけでなく、リスクが高いアカウントの自動ブロックにより、さらなる攻撃のエスカレーションを防止する取り組みをおこなっています。セキュリティ監視や、より安全な業務環境の実現をご検討の際には、ぜひ NRAS の採用をご検討いただけますと幸いです。

【サービス詳細】
NR Automate Security（ NRAS）
https://nextread.co.jp/service-nras/
 

【関連記事】
・すごいぞ NRAS！対応事例のご紹介
【すごいぞ NRAS！】偽 Claude Code をインストールしてしまったデバイスへの対応事例
https://nextread.co.jp/column-casestudy/nr-automate-security01/

・数字で見る NRAS 2025
https://nextread.co.jp/column-casestudy/nrinfographic_nras_2025/