2024 年 1 月、Linus Tech Tips は動画ライブラリの大部分と 三つの YouTube チャンネルを攻撃者に奪われました。パスワードマネージャー には手をつけられた形跡がなく、2FA も有効。チームの誰にもログインの 通知は届いていません。攻撃者はそもそもログインしていないのです。その 必要がなかったから、と言うほうが正確でしょう。被害者のブラウザが すでにログイン済みの証拠として受け入れていたセッション cookie を、 攻撃者は手にしていました。
現代のアカウント乗っ取りはこういう形で起こります。パスワードが破られる ことはほとんどなく、2FA コードが途中で奪われることもほとんどありません。 盗まれているのはセッショントークン、つまり「このユーザーはすでに認証済み」 とブラウザが記録している cookie です。一度抜き取られてしまえば、別の ブラウザに移し替えるだけで、追加の確認なしに直接アクセスできてしまいます。
セッションとは実際のところ何か
サービスにサインインすると、サーバーはパスワードと第二要素を一度だけ検証します。 その後、ブラウザに cookie を発行します。通常は長いランダムなトークンです。以降のリクエストごとにブラウザは その cookie を送信し、サーバーはそれを「すでにログイン済み」の証拠として受け入れます。 ページを開くたびにログインし直さなくて済むのはこのためです。
こうしたトークンの有効期間はたいてい数日から数週間です。Gmail は最長二週間のセッションを受け入れます。Slack や Discord は最長一年。SaaS ツールのなかにはまったく期限を切らないものもあります。サーバーから見れば、 トークンを持っている者が正当なユーザーであり、それがどの端末から提示されても 変わりません。
cookie はブラウザのプロフィール内のデータベースに保存されています。Chrome のユーザーデータフォルダにある Cookies や Network Stateのようなファイルです。あなたの権限で動くプログラムならどれでも読めます。Windows は一部の値を暗号化しますが、それは同じアカウントの DPAPI キーで行われており、そのキーはプログラム側が持っています。
今どき cookie はどう盗まれているか
この攻撃のジャンルは infostealer と呼ばれます。RedLine、Raccoon、Lumma、Stealc といったプログラムは、月に数百ドル程度でサービスとして売られています。被害者の マシン上で数秒だけ動作し、すべての cookie、パスワード、オートフィル、暗号資産 ウォレットを吸い上げて、立ち去ります。
もっとも多い侵入経路は、クラックソフトウェアやゲームのチートです。その背後には malvertising キャンペーン、人気ツールの偽インストーラ、海賊版と称したプログラムがあります。 感染から一分足らずで、ブラウザのあらゆるデータが攻撃者の手に渡ります。
盗まれたデータの束は、Russian Market、Genesis、2easy といったマーケットプレイスで売買されます。そこで売られているのはパスワード 一つではなく、bot 丸ごとです。cookie、fingerprint、user agent、IP 履歴を含むパッケージです。それを使えば、購入者はあなたのブラウザ環境を 十分に再現し、サービスのリスクエンジンに引っかからずにサインインできます。
ここで第二要素が効かない理由
2FA が守っているのはログインそのものです。ログインが通った瞬間に セッションが発行されます。あとは cookie がサーバーに「三日前に 確認済みだ」と伝え、サーバーはそれを信じる、という流れです。cookie を再生する攻撃者は、認証経路をまるごと飛ばします。2FA も、生体認証の ステップも、すべてです。
一部のプロバイダはセッションを IP アドレスやデバイスの fingerprint に 紐づけています。明らかに別の端末からのアクセスには効きますが、 fingerprint と IP を合わせ込んでくる攻撃者には通用しません。それこそ マーケットプレイスが cookie と抱き合わせで売っているものです。 セキュリティチームの目に映るのは、せいぜい同じ街から勤務時間内に 入ってきたログイン、それだけということになります。
FIDO2 対応のハードウェアキーはログイン時には頼りになりますが、すでに 発行された cookie には効きません。本当にクリティカルなアカウントでは、 token binding(Device-Bound Session Credentials、DBSC)のアプローチが 使われはじめていますが、2026 年時点では一部での展開にとどまっています。 それまでは、盗まれた cookie はそのまま有効な cookie です。
盗まれたことに気づく方法
昔ながらのログイン通知は、攻撃者が新しくログインする代わりに既存の セッションを使い回した場合、まったく反応しません。手がかりはもっと 細かいところに出ます。自分が書いた覚えのない送信済みメールは強い シグナルです。自分で作った覚えのないフィルタや転送ルールは、ほぼ 間違いなく攻撃者が残した痕跡です。身に覚えのないメッセージを友人が 受け取っていたら、それははっきりとした警告サインです。
セッション管理画面を公開しているサービス(Google、GitHub、Discord) では、アクティブな端末の一覧をのぞいておく価値があります。見慣れない 都市、ブラウザ、OS からのセッションは即座に無効化しましょう。その あとで必ずパスワードも変更します。ログアウトボタンは新しいログイン を経由するため、盗まれたセッションすべてを無効化してくれるとは 限らないからです。
infostealer の疑いがあるなら、パスワードを差し替えるだけでは 足りません。正しい順序は、端末を完全に再セットアップするか フォレンジック用の環境に隔離し、クリーンなマシンからパスワードを 変更し、すべてのセッションを無効化し、最後に 2FA の秘密情報を ローテーションする、というものです。
引きこもらずにセッションを守る
いちばん効くのは、そもそもメインマシン上に重要な cookie を作らせない ことです。セッション終了時にまるごと破棄される隔離ブラウザでサイン インすれば、ログアウト後には稼働中のどの端末にも cookie は残りません。 ノート PC に潜む infostealer も、盗む対象を見つけられなくなります。
実務では、段階的なモデルがよく機能します。日常的なログインや、 被害の軽いサイトへのログインは普段のブラウザのままで構いません。 重要度の高いアカウント、つまりお金を動かしたり、コードをデプロイ したり、広告予算を扱ったり、顧客データを参照したりするものは、 必ず隔離セッションから開く。習慣そのものを変えることが、この種の 攻撃を確実に防げる唯一の方法です。全体像については How Hackers Use Your Browser Historyを参照してください。
どんな端末でも、デスクトップ並みの快適さを。
Browser.lol を無料で試して、スマホやタブレットでも PC 並みの快適さを体感してみませんか?
デスクトップブラウザを試すダウンロード不要・どんな端末でも動作
