あらゆる情報を窃取する情報窃取型マルウェア
連載2回目の今回は、情報窃取型マルウェアについてお話します。このマルウェアは情報を摂取するマルウェア(Information Stealer)の意味から、「インフォスティーラー(InfoStealer)」と呼ばれることのほうが多いかもしれません。認証情報を盗むものを特に「パスワードスティーラー(Password Stealer)」と呼ぶこともあれば、オンライン金融機関の認証情報を盗むものをバンキング型マルウェアと呼ぶこともあります。
感染したコンピュータから様々な情報を盗みだすこのタイプのマルウェアには多くの種類が存在しており、感染したコンピュータから窃取されるものには、例えば以下の機微な情報などが挙げられます。
- ユーザーID
- パスワードなどの認証情報
- クッキー
- メールアドレス
- コンピュータに保存している認証情報(FTP, メールなど)
- クレジットカード情報
- ブラウザに保存してある情報
- 暗号通貨のウォレット情報
さらに盗む方法、つまり実装方法にも様々な手段があります。ブラウザに不正コードをインジェクション(挿入)し、ブラウザをモニターするのもその一つです。ユーザーが金融機関のサイトにアクセスした際に、本来のサイトに追加の偽入力情報を表示させ、クレジットカード情報や認証情報を窃取するといったものです。
また、感染したコンピュータのレジストリ情報などからアプリケーションや認証情報、その他の情報を盗むものさえあります。つまり、対象の標的を自由かつ動的に変化させることができるため、マルウェアのファイルを静的に解析し、あらかじめフィルタリングを行うといった対策が困難だったりするのです。
実際、数年前に日本に被害を及ぼしたUrsnif、URZoneなどはブラウザに不正なコードを挿入するタイプのもので、日本でも多数の金融機関が狙われました。ここ数年で感染数が上位のインフォスティーラーに次のようなものがあります。
- Redline Stealer
- Agent Tesla
- Amadey
- Vidar
- Formbook
- Azorult
- Raccoon
このうちRedline、 Amadey、Vidar、Azorult、Racoonなどはロシア由来とされており、実際同国のコンピュータでは活動をしないよう実装されているものもあります。また、これらのインフォスティーラーの一部には他のマルウェアをダウンロードする機能を備えるなど、他のロシア系マルウェアと連携しているような活動も観測されています。
なお最近のインフォスティーラーでは、マルウェアを作成する側とそのマルウェアを使って攻撃する側の分業が進んでいます。マルウェアを作成し、攻撃者に販売するような活動形態はMaaS(Malware as a Service)と呼ばれています。以前はマルウェアを用いて攻撃する側が同時にマルウェアの作成も行っていましたが、何事にも得手不得手があり、それぞれが得意な作業に注力する分業によって、攻撃全体が効率化されています。
