オンラインバンキングの認証情報などを窃取し、ボットネットを形成するトロイの木馬
DridexはWindows向けマルウェアの1種として、主に金融サービスに関連する情報を窃取するトロイの木馬型のマルウェアとして知られている。また、ほかのマルウェアに感染させられるなど、オンラインバンキング以外でもさまざまな被害が生じている。Dridexの侵入経路として用いられるのはメールの添付ファイルだ。WordやExcelなどオフィスソフトのマクロ機能が悪用され、ダウンローダーが起動してDridex本体がダウンロードされる。
しかし、Dridexの登場から時間の経過に伴い、攻撃手法は変化してきている。ユーザーがマクロを実行することで本体プログラムが読み込まれ実行されると被害に至ることが多いが、Emotetをはじめとした、ほかのマルウェアが設置したバックドアを悪用するケースもある。オンラインバンキングに関連する情報漏えいに加え、最近ではランサムウェアのダウンローダーとして機能し、機密データを暗号化して脅迫することで金銭を脅し取ろうとするケースもある。
Dridexの変遷
Dridexが最初に検出されたのは2014年11月。2007年に初めて検出されたZeus Trojan(Zbot)の亜種として知られるバンキングマルウェア、GameOver Zeusのテイクダウン後にDridexが確認されるようになった。DridexはGameOver Zeusと共通する部分が多く見られたが、2015年にバージョン2に進化、以降も継続的にバージョンアップを果たし、進化を続けている。
DridexはCridex(Bugat)を後継するマルウェアとされる。CridexはUSBメモリー経由で感染を広げるワーム機能を有するバンキングマルウェアであり、その特徴からDridexと一緒だという考えもある。また、2017年に検出されたFriedEx(BitPaymer)と呼ばれるランサムウェアは、コードの類似性からDridexの亜種であると考えられている。
2019年、BitPaymerの後継と思しき、DoppelPaymerによる攻撃が多数観測されるようになった。このように、Dridexの基盤技術は亜種を含め、さまざまな攻撃に用いられている。
また、先述のようにDridex自体もバージョンアップを続けており、2020年にはExcelのXLMマクロ機能を悪用するようになった。このような変化を遂げた背景として、Windowsのマルウェア対策スキャン(AMSI)において、XLMの検査が難しいことが挙げられる。そのため、マイクロソフト社は2021年、デフォルトでXLMマクロ機能を無効化するようにアップデートを行った。
Dridexがもたらす被害
バンキングマルウェアとして知られるDridexだが、感染に至った場合、その被害は多岐にわたる。以下に主要なものを紹介する。
金融情報の窃取
Dridexは添付ファイル内のマクロが起動すると、C&Cサーバーと通信を行い、マルウェア本体をダウンロードする。その後、このダウンロードされたマルウェアはオンラインバンキングをはじめ、金融・決済サービスに関する情報を不正に取得する。そして、これらの情報をC&Cサーバーや攻撃者の手元に転送し、以降の犯罪実行をもたらす。
ランサムウェアによる被害
最近のバージョンのDridexでは、ランサムウェアのダウンロードをほう助する。内部データが不正に暗号化され、身代金を要求されるだけでなく、「ダブルエクストーション(二重の脅迫)」といった事態に追い込まれるケースもある。
感染メールの拡散
Dridexはメール送付機能を悪用して、不特定のユーザーに対してDridexへの感染を狙うメールを送り付ける。感染したパソコンから情報を窃取し、メールのやり取り履歴がある宛先へ、正規のメールに偽装したマクロファイル添付のメールを無差別に送付する。また、発覚した初期には複合機のスキャン機能で利用されるメール通知に偽装した手口も確認されている。
Dridexへの対策
先述のように、Dridexの感染源はその多くがメール経由となっている。そのため、メール内の添付ファイルを開封する際には細心の注意を払うようにしたい。また、メール本文のリンク経由で不正なWebサイトへ誘導してDridexをダウンロードさせようと試みるケースもある。いずれの場合でも、セキュリティソフトの導入などの基本的な対策を講じていることで安全性は高まる。
また、多くの従業員が所属する企業・組織などでは、個別にエンドポイントソリューションを導入することも有効だが、ゲートウェイにおけるメールのフィルタリングなども講じるようにしたい。
Dridexに限らず、現時点で判明している手口はこれまでに発覚したものに過ぎない。未知の手口を明確に予測できないため、多層的に防御を講じておくことが望ましいだろう。