スマホやパソコンに潜伏して悪意のある行動を行うマルウェアには、さまざまなタイプがある。中でも、近年よく知られるようになったものの1つとしてインフォスティーラーが挙げられる。この記事では、情報を窃取するマルウェアであるインフォスティーラーについて、その概要や種類、有効な対策について解説する。
インフォスティーラーとは
インフォスティーラー(Infostealer)とは「Information Stealer」の略称であり、日本語に直訳すると「情報を窃取する者」となり、一般的には情報窃取型マルウェアと呼ばれる。すなわち、情報を窃取する機能を有するマルウェアはすべて、インフォスティーラーに該当するとも言えるため、その範囲は広い。例えば、ネットバンキングやSNS、Webサービスのログイン情報、デバイス内の写真やテキスト情報なども窃取される場合がある。こうした情報を悪用して攻撃者は利益につなげるのだ。
最近では、マルウェアの進化、複雑化に伴ってマルウェアの分類方法が変わってきている。例えば、以前は「コンピューターウイルス」、「ワーム」、「トロイの木馬」のように、マルウェアをその感染方法や単独で動作するかといった分類が一般的であった。しかし、「ランサムウェア」や「バンキングマルウェア」などのように、被害をもたらす対象によって分類されることが多くなった。インフォスティーラーもそのような分類方法に基づく呼び方である。
インフォスティーラーの被害は年々増加しており、マルウェア感染の被害報告数においても上位を占めるようになっている。
主なインフォスティーラー
近年、猛威を振るっている代表的なインフォスティーラーとして、以下のようなものが存在する。
RedLine Stealer
2020年に登場し、それ以降、広範囲への拡散と感染が確認されているインフォスティーラーであり、アカウント情報や暗号資産(仮想通貨)ウォレット、ブラウザー内の格納情報に加え、OSやシステムなどの情報も窃取する。ダークウェブ上で、MaaS(Malware-as-a-Service)としてサブスクリプション販売されている。
Raccoon Stealer
Windowsシステムに感染し、さまざまなデータを窃取するインフォスティーラー。フィッシングメールなどを経由して感染し、資格情報やメールアドレス、銀行口座、クレジットカード情報などを窃取する。MaaS形態で提供されているため、サイバー攻撃に関する知識が乏しい場合であっても、攻撃を行うことができる。
Vidar
2018年に登場したインフォスティーラーであり、システムからクレジットカード情報やアカウント情報、暗号資産(仮想通貨)ウォレットなどさまざまな情報を窃取する。ダークウェブのフォーラム上では、数万円程度の価格で販売されていたこともある。セキュリティソフトなどによるブロックを回避する目的で、TelegramやInstagram、TikTokといった有名なプラットフォームをC&Cサーバーとして利用するなど、高度な振る舞いをみせるといった特徴がある。
ReceiverNeo
日本のユーザーを対象として拡散しているインフォスティーラーであり、成人向けゲームに偽装して配布されていることが特徴。タスクスケジューラーに登録、定期的に実行されることで、感染したデバイスのスクリーンショットを窃取する。
LokiBot
2015年から活動しているインフォスティーラーであり、トロイの木馬型のマルウェアである。フィッシングメールやSNSのDMを通じてシステムに侵入し、Webブラウザーやメールソフトなどからログイン情報や暗号資産(仮想通貨)ウォレットなどの情報を窃取する。さらに、侵入したシステムにバックドアを作成し、マルウェア本体のペイロードをインストールさせる場合もある。
Formbook(XLoader)
2016年に発見された、Windows OSを狙うインフォスティーラー。新型コロナウイルスをテーマにしたフィッシングメールに添付され、システムに侵入するとさまざまな情報を窃取する。ほかのインフォスティーラー同様に、ダークウェブ上でMaaS形態にて販売されている。
インフォスティーラーの情報窃取攻撃手法
インフォスティーラーは比較的新しいマルウェアであり、さまざまな脆弱性を狙う高度な攻撃手法を用いる。インフォスティーラーの代表的な攻撃手法として、以下のようなものが挙げられる。
環境寄生型攻撃
LotL(Living off the Land)攻撃とも呼ばれ、マルウェアを利用せずにOSやセキュリティソリューションなどに組み込まれた既存の機能を悪用する攻撃のこと。本来は脆弱性の検証やペネトレーションテストのために用いられる、Mimikatz、Cobalt Strikeといったセキュリティソリューションを悪用する。既存のマルウェア攻撃に比べて検知が難しいといった特徴がある。
クレデンシャルハーベスティング
標的を欺くことで、クレデンシャル情報を盗み取る攻撃。具体的な手法としては、フィッシングメールや中間者攻撃などが用いられる。
APIフッキング
Windows OSのデバイス上で、アプリケーションがOSの持つ機能を呼び出す際に使うAPIの処理を捕捉し変更を行う。
DLLサイドローディング
ターゲットとなるシステムに悪性のDLLを配置し、アプリケーションを通じてその悪性DLLを実行させる攻撃手法。悪性DLLを実行するアプリケーションそのものは正当なものであるため、セキュリティソフトでも検出しにくいことがある。
プロセス・ホローイング
侵入したシステムのプロセスに悪意のあるコードを挿入するコード・インジェクション攻撃の1つ。休止状態のプロセスを新たに作成したのち、この休止プロセスのメモリーを開放し、それによって空いた領域に悪意のあるコードを挿入する。攻撃が検出されづらいのが特徴だ。
日本で暗躍しているXLoaderとは
インフォスティーラーの中でも、特に注意すべきものがXLoaderである。XLoaderは以前、Formbookと呼ばれていた。MaaSとしてダークウェブなどで販売されているため、サイバー攻撃に対する知識が乏しいユーザーであっても攻撃者となり得る。また、WindowsだけでなくmacOSもターゲットとしていることから被害も増えている。
なお、Androidを対象とした同名の情報窃取型マルウェアも存在するが、こちらは別のマルウェアであり、正規アプリに偽装して情報を窃取するのが特徴だ。
インフォスティーラー対策
先述のように、インフォスティーラーは高度な攻撃手法を用いた警戒すべきマルウェアである。インフォスティーラーから自社のシステムを守るには、以下に挙げるような基本的な対策を徹底することが求められる。
セキュリティソフトの導入
セキュリティソフトはマルウェアデータベースとの照合、そしてマルウェアと疑われるプログラムのふるまいを監視することでマルウェアを検出・駆除する。例えば、「ESET PROTECT Advanced クラウド」のようなエンドポイントセキュリティを導入することで、インフォスティーラーによる被害を受ける前に検出して感染を防ぐ可能性が高まる。
悪意あるWebサイトへアクセスしない
インフォスティーラーの主な感染経路の1つは悪意のあるWebサイトだ。こうしたWebサイトへのアクセスを避けるようにすれば、感染リスクを低減できる。セキュリティソフトのアクセス遮断機能などが有効だ。
パスワードマネージャーの利用
パスワードマネージャーを利用することで、サービスごとにパスワードを記憶しておく必要がなくなる。そのため、桁数の多いパスワードを設定する、あるいはサービスごとに異なるパスワードを使い分けるといった、強固なパスワードの運用が可能となる。万一あるサービスのクレデンシャル(資格)情報が流出した場合でも、別サービスでの不正利用は起こりづらくなる。
多要素認証機能の活用
近年、重要度の高いWebサービス、アプリでは多要素認証機能を導入しているものが多い。多要素認証機能を有効化することで、パスワードが流出した場合でも不正アクセスのリスクは抑えられる。
MDRの導入
インフォスティーラーの侵入後の対策として、セキュリティリスクを包括的に監視、対応するMDRサービスの導入も検討に値するだろう。例えば、「ESET PROTECT MDR」ではパソコンやスマホなどのエンドポイントの総合的な保護が可能となっている。
キヤノンMJが提供するMDRサービス「ESET PROTECT MDR」はこちら。
包括的なエンドポイント対策による事前防御に加え、XDRによる事後対策と運用・支援サービスまでをワンストップで提供します。
※「MDR選定ガイド」もご活用ください。
加えて、OSやアプリケーションを常に最新バージョンに更新すること、不審なメールの添付ファイルは開封しない、といった基本的な対策も必須と言えるだろう。デバイスのベンダーが推奨しない、脱獄のような行為を避けることも重要だ。
個人で実施可能な対策は限られるものの、一番重要なことはユーザー個々のリテラシーを高め、インフォスティーラーのような存在を意識することだ。その上で、攻撃者が狙う情報を適切に保護するための対策を講じることも求められるだろう。