ダウンローダーとは?マルウェアやランサムウェアの感染に関わるその存在

この記事をシェア

近年のサイバー攻撃において、ダウンローダーを用いた攻撃は極めて巧妙で、セキュリティソフトによる検出・駆除を回避してしまう厄介な存在として認知されている。この記事では、ダウンローダーを介した攻撃が拡大している背景とその攻撃手法、そして、リスクを軽減させるための対策について解説する。

ダウンローダーとは?マルウェアやランサムウェアの感染に関わるその存在

ダウンローダーとは

一般的にダウンローダーとは、ソフトウェアやコンテンツを一括で効率的にダウンロードするためのプログラムを指す。ファイルサイズの大きいものや、一度に複数のファイルをダウンロードできる機能を提供するものもある。より正確には「ダウンロードマネージャー」と呼ばれる。

多くのユーザーに知られている用途は、動画や音声コンテンツのダウンロードだろう。このようなダウンローダーでは、配信されるデータをオフラインで利用できるよう、MP3やMPEG4といったファイル形式に変換する。こうしたファイル操作を容易にするべく、各種ソフトウェア事業者からダウンロードマネージャーがリリースされてきた。

一方で、セキュリティ分野におけるダウンローダーとは、感染したコンピューターにマルウェアをダウンロードさせるためのプログラムを指す。ダウンローダー自体には悪意のある振る舞いをするソースコードが含まれていない場合が多く、そのためセキュリティソフトのスキャンによる検出が難しいのが実情だ。また、ダウンローダーに類似しているソフトウェアで、プログラム自体にマルウェアを格納した「ドロッパー」も知られている。以下、この記事においては、セキュリティ分野におけるダウンローダーを取り上げていく。

例えば、高度な機能を有するランサムウェアの場合、攻撃の初期段階において、その攻撃プログラム自体をターゲットの端末に送り込むケースがある。まず、ダウンローダーが送り込まれた後、ユーザーが気づかないうちにバックグラウンドで攻撃プログラムがダウンロードされるのだ。

実際、2019年上半期には日本国内で検出されたマルウェアのうち、第1位と第3位がダウンローダーであった。加えて、2022年10月には、世界全体でダウンローダーの検出数増加が報じられたことも、こうした実態を裏づけている。

マルウェア攻撃においてダウンローダーが用いられる背景

昨今のサイバー攻撃において、ダウンローダーが頻繁に用いられている背景として、以下のような理由が考えられる。

1)ウイルス対策ソフトでの検知が困難

先述したとおり、ダウンローダー自体はファイルの取得のみ行うため、ウイルス対策機能では検出が難しい。デバイスにダウンローダーが潜伏し、一定の時間が経過した後にマルウェアがインストールされ、実行される。こうした巧妙な仕掛けにより、防御が難しくなるのだ。

また、ダウンローダーでマルウェアの取得先に関する設定が変更されれば、異なるマルウェアが取得できるようになる。その結果、侵入されたデバイスのウイルス対策機能で検出されないようなマルウェアをダウンロードするまで、さまざまなマルウェアのダウンロードが試行される恐れがある。

加えて、複数のファイルに分割してダウンロードされる場合もある。攻撃手法の巧妙化とウイルス対策機能の進化は、いたちごっこの様相が続いている。

2)多様な侵入経路

攻撃者はメールの件名や文面を巧妙に偽装し、ダウンローダーのインストールを促そうとする。上司、知人、取引先を騙り、添付ファイルにダウンローダーを仕込んだメールを送り付ける標的型攻撃が代表的だ。最近では、複合機の通知に偽装したものも出回るなど、その手法は悪質化の一途を辿っている。

また、インターネットで配布されたファイルや、公式サイト以外から取得されたアプリにダウンローダーが含まれる場合もある。ダウンローダーは、ExcelやWordなどのオフィスファイル形式をはじめ、PDF、Zip、JavaScriptなど、さまざまなファイル形式のものが存在する。

3)偽装が容易

実行ファイルを画像ファイルやテキストファイルに偽装することで、ログの解析によって検出されてしまうのを回避する手口が知られている。接続先の情報も後々に書き換え可能なため、一見すると害のないダウンロードマネージャーに見せかけることができてしまう。また、悪意あるファイルをホストしたサーバーも、攻撃終了後に削除できるため、攻撃の証拠が隠ぺいされてしまうケースもある。

過去には、オンラインチャットアプリDiscordにおいて、正規ドメインに偽装したファイル共有URLから、ダウンローダーがマルウェアを取得し、配布された事例も確認されている。

ダウンローダーの攻撃手法

ダウンローダーに感染する流れとして、メール経由で侵入される場合の例を解説する。

1)取引先に偽装した攻撃者が、添付ファイルにダウンローダーを仕込んだメールを送信する
2)受信者が、添付ファイルのマクロを有効化してしまい、意図せずダウンローダーを実行する
3)実行されたダウンローダーが、マルウェアをデバイスにダウンロードおよび実行させ、感染に至る

ダウンローダーは無害に見えながら、バックグラウンドで不正なプログラムを実行する「トロイの木馬」型攻撃の一種とも言われる。トロイの木馬型をはじめ、ダウンローダーの攻撃手法として、よく知られるものを紹介する。

1)Emotet

トロイの木馬型攻撃の代表例として知られているのがEmotetだ。2014年から被害が断続的に発生しており、その当初は銀行の口座情報を不正に取得するマルウェアだった。しかし、時間の経過とともに、ランサムウェアや、ほかのマルウェアをダウンロードする機能を有するように進化してきた。Emotetが組織内ネットワークへ侵入すると、ほかの端末へ感染が広がるため、被害が拡大しやすい。

2)Dridex

2020年に多数検出されたDridexは、フィッシングメールなどから感染するダウンローダーであり、オンラインバンキングの認証情報や機密情報が窃取される事例が多数確認された。

3)Android Trojan Downloader

Androidアプリに潜伏し、Webサイト上に表示された偽のFlash Player更新画面から、ダウンローダーをインストールする。Androidユーザーをターゲットに、電池節約アプリに偽装して、ユーザーから不正に権限を得た上で、バンキング型トロイの木馬やマルウェアをダウンロードさせるものであった。

ほかにもBisodown、Gofarer、DarkGate、GuLoaderといったダウンローダーや、その亜種が報告されている。いずれもウイルス対策機能による検出を回避する高度な機能が導入されており、スパムメールなどで拡散されてきた。

ダウンローダーへの対策

ユーザーが講じるべき対策としては、セキュリティソフトを導入したり、OSやアプリを最新バージョンに更新したりといった基本的なものが中心となる。また、添付ファイルを発端に被害が拡大しており、その手口も巧妙さを増しているのを踏まえ、メールの扱いは特に注意したい。見知らぬ宛先からのメールはもちろんのこと、知人や同僚をはじめ、普段よく使っているサービスやデバイスからの通知であっても、注意が必要となる。

先述のように、送付元を偽装するだけでなく、マルウェアに感染したユーザーのアカウントが悪用される場合もある。

ダウンローダーはマイクロソフト社のオフィス文書のマクロ機能として配布された例が多かったこともあり、現在、オフィス文書のマクロ機能は、デフォルトで無効化されるようになった。しかし、攻撃者はユーザーにマクロ機能の有効化を促すべくあらゆる手法を用いてくる。マクロのブロック機能を回避する、OneNote形式のダウンローダーも確認されている。マクロを有効化する場合は、くれぐれも十分に確認を行った上で対応するようにしたい。

また、取引先に偽装した標的型メールなどの存在を考慮すると、重要な情報をやり取りする際は、メール以外にも、電話を含めた複数の手段で確認するよう、業務プロセスを見直すと良いだろう。

組織的な対策としては、インシデントが発生した際、迅速に対処できる体制構築が求められる。何かの問題が起こった際には、速やかに情報セキュリティ部門へ報告できるプロセスを確立しておくべきだ。ランサムウェアと同様、ダウンローダーは組織全体へと被害が広がるリスクがあるため、疑わしい兆候が見られた際には、関係部門との連携を密にしておかなければならない。

また、情報セキュリティ部門はダウンローダーによる不正な通信を把握・遮断するべく、ネットワークのセキュリティを最適化しておく必要もあるだろう。情報セキュリティ関連技術の進展に伴い、従来のセキュリティ対策を回避すべく、サイバー攻撃も巧妙化が進んでいる。企業・組織においても、その従業員で講じるべきセキュリティ対策を適切に進め、セキュリティリスクに晒されないように注意したい。

この記事をシェア

サイバー攻撃対策に

サイバーセキュリティ
情報局の最新情報を
チェック!