SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

レジリエンスを構築する、本城信輔のセキュリティガイド

サイバーレジリエンスから考える脅威─情報窃取型マルウェア「インフォスティーラー」対策とは─

 国内や国際情勢の影響もあってか、近年よく耳にするようになった「レジリエンス」。NIST(米国標準技術研究所)ではレジリエンスを、「サイバー攻撃を予測し、耐え、回復する能力」としています。予測するために、どういったマルウェアによる攻撃があることを知る必要があり、マルウェアの機能を知ることによって耐え、回復することが可能です。しかしそのためには、攻撃されることを前提に対策を取る必要があり、それに備えていていくこと大事です。そこで本連載では、レジリエンスを実現するということを念頭に、様々なマルウェアやサイバー脅威を紹介し、具体的な例を用いて機能や攻撃能力、アクターを説明していきます。第2回目の今回は、「サイバーレジリエンスから考える脅威─インフォスティーラー情報窃取型マルウェアとは─」です。

あらゆる情報を窃取する情報窃取型マルウェア

 連載2回目の今回は、情報窃取型マルウェアについてお話します。このマルウェアは情報を摂取するマルウェア(Information Stealer)の意味から、「インフォスティーラー(InfoStealer)」と呼ばれることのほうが多いかもしれません。認証情報を盗むものを特に「パスワードスティーラー(Password Stealer)」と呼ぶこともあれば、オンライン金融機関の認証情報を盗むものをバンキング型マルウェアと呼ぶこともあります。

 感染したコンピュータから様々な情報を盗みだすこのタイプのマルウェアには多くの種類が存在しており、感染したコンピュータから窃取されるものには、例えば以下の機微な情報などが挙げられます。

  • ユーザーID
  • パスワードなどの認証情報
  • クッキー
  • メールアドレス
  • コンピュータに保存している認証情報(FTP, メールなど)
  • クレジットカード情報
  • ブラウザに保存してある情報
  • 暗号通貨のウォレット情報

 さらに盗む方法、つまり実装方法にも様々な手段があります。ブラウザに不正コードをインジェクション(挿入)し、ブラウザをモニターするのもその一つです。ユーザーが金融機関のサイトにアクセスした際に、本来のサイトに追加の偽入力情報を表示させ、クレジットカード情報や認証情報を窃取するといったものです。

 また、感染したコンピュータのレジストリ情報などからアプリケーションや認証情報、その他の情報を盗むものさえあります。つまり、対象の標的を自由かつ動的に変化させることができるため、マルウェアのファイルを静的に解析し、あらかじめフィルタリングを行うといった対策が困難だったりするのです。

 実際、数年前に日本に被害を及ぼしたUrsnif、URZoneなどはブラウザに不正なコードを挿入するタイプのもので、日本でも多数の金融機関が狙われました。ここ数年で感染数が上位のインフォスティーラーに次のようなものがあります。

  • Redline Stealer
  • Agent Tesla
  • Amadey
  • Vidar
  • Formbook
  • Azorult
  • Raccoon

 このうちRedline、 Amadey、Vidar、Azorult、Racoonなどはロシア由来とされており、実際同国のコンピュータでは活動をしないよう実装されているものもあります。また、これらのインフォスティーラーの一部には他のマルウェアをダウンロードする機能を備えるなど、他のロシア系マルウェアと連携しているような活動も観測されています。

 なお最近のインフォスティーラーでは、マルウェアを作成する側とそのマルウェアを使って攻撃する側の分業が進んでいます。マルウェアを作成し、攻撃者に販売するような活動形態はMaaS(Malware as a Service)と呼ばれています。以前はマルウェアを用いて攻撃する側が同時にマルウェアの作成も行っていましたが、何事にも得手不得手があり、それぞれが得意な作業に注力する分業によって、攻撃全体が効率化されています。

次のページ
攻撃者たちのエコシステム

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
レジリエンスを構築する、本城信輔のセキュリティガイド連載記事一覧

もっと読む

この記事の著者

本城 信輔(ホンジョウ シンスケ)

サイバーリーズン合同会社 Japan CISO 本城 信輔(ほんじょう しんすけ)
アンチウィルスベンダーやセキュリティ企業において、20年以上に渡りマルウェア解析業務に従事。豊富な定義ファイルの作成経験があり、サンドボックスの検知技術やAIによる検知技術の向上にも関わってきた経験からマルウェア対策技術に...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19288 2024/03/06 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング