「一度ログインすればOK」に潜むワナ…あなたの「ログイン状態」が盗まれる？　勝手なアクセス防ぐ5つの対策

2026年2月28日 8時15分

オトナンサー

エンタメ

「クッキー（Cookie）」の流出が急増している理由は？（画像はイメージ）

　ネットショッピングやSNSを利用する際、「一度ログインすれば、次から入力不要」という機能を利用している人は多いと思います。こうした非常に便利な機能を支えているのが「クッキー（Cookie）」という技術ですが、実は今、このクッキーがサイバー犯罪者の絶好の標的になっていることをご存じでしょうか。

　最新の調査では、日本に関連するクッキー情報が大量に流出し、闇サイトで取引されている衝撃的な実態が明らかになりました。便利さの裏側に潜むリスクと、私たちの個人情報を守るための日常的な対策について、専門家の解説とともに紹介します。

他人事ではないクッキー流出の現状

　サイバーセキュリティー企業のNordVPNが2025年4月に実施した調査によると、同年4月23日から同月30日に世界中の闇サイト（ダークウェブ）上で観測されたクッキーのうち、約2億5000万件が日本から流出したものだったといいます。多くの人が被害に遭っているのが分かります。

　さらに深刻なのは、そのうち約2000万件のクッキーが、調査時点で「依然として有効（アクティブ）」だったことです。これは、犯罪者がそのクッキーを使えば、この瞬間にも本物のユーザーアカウントに不正アクセスできる状態にあることを意味します。

　サイバーセキュリティーの専門家であり、NordVPNの最高技術責任者（CTO）を務めるマリユス・ブリエディスさんは、次のように警鐘を鳴らします。

「多くの人は、クッキーを単なる広告用や設定保存用のデータだと考えています。しかし実際には、多くのクッキーが、ウェブサイトやアプリへ再ログインなしで安全にアクセスし続けるためのデジタル証明書である『認証トークン』として機能しているのです。もしこれが悪意のある第三者の手に渡れば、彼らはパスワードを知らなくても、デジタル上の鍵を使ってあなたのアカウントに直接ログインできてしまいます」

なぜ「クッキー」が狙われるのか

　先述の調査では、2025年に世界全体で盗まれたクッキーの数は約940億件に達し、前年の540億件からわずか1年で74％も急増していることが分かりました。

　なぜ、これほどまでにクッキーが狙われるのでしょうか。その理由は、セキュリティー技術の進化にあります。近年、多くのサービスで、ログイン時にワンタイムパスワードや生体認証など、複数の要素を組み合わせた「多要素認証（MFA）」が導入され、パスワードだけでは不正ログインが難しくなりました。

　そこで犯罪者は、ログインに成功した後に発行される「クッキー」を丸ごと盗むことで、二段階認証などのプロセスをすべて回避してアカウントを乗っ取る手法にシフトしているのです。

　特に狙われているのは、Google（約45億件）、YouTube（約13億件）、Microsoft（約10億件以上）といった大手プラットフォームです。これらは仕事からプライベート、決済情報までひも付いているため、犯罪者にとって極めて価値の高い「宝の山」となります。

忍び寄る「インフォスティーラー」の脅威

　クッキーを盗む主な犯人は、「インフォスティーラー（情報窃取型マルウェア）」と呼ばれる悪意のあるプログラムです。NordVPNの今回の調査では、38種類ものマルウェアが確認されており、これは前年の3倍以上の数です。

「Redline」や「Vidar」といった比較的よく知られているものから、日々進化する新型まで、その手口は巧妙化しています。これらは、海賊版ソフトウェアや偽のダウンロードサイト、フィッシングリンクなどに隠されており、一度デバイスに侵入すると、誰にも気付かれずにブラウザーからクッキーや保存されたパスワード、自動入力データなどを根こそぎ盗み出します。