目次
インフォスティーラーとは
インフォスティーラー(Infostealer)とは、感染した端末から情報を窃取するタイプのマルウェアです。感染した端末からはパスワード情報、クレジットカードや銀行口座に関する情報、キー入力、クリップボードデータ、スクリーンショット、システム内部のデータなど様々な情報を盗み出します。
フィッシングよりも怖いインフォスティーラー
世界中から注目を集めているOpenAIの革新的なチャットボット「ChatGPT」。ジェネレーティブAIが未来の可能性を広げる反面、このような技術がサイバー攻撃に悪用されることでフィッシング詐欺メールの文面がより自然になり、被害が拡大することも懸念されています。フィッシング詐欺でID/パスワードなどの認証情報を盗まれてしまうと、攻撃者が攻撃対象の組織に侵入するための”入口”として活用されてしまう可能性があるためその影響は計り知れません。
“入口”のカギとなる認証情報を窃取する方法は他にも存在しますが、中でも恐ろしいのがインフォスティーラーです。その一種である「DUCKTAIL」は、ターゲットにフィッシングを仕掛けるためにWhatsApp等の新たなルートを使用します。また、防御回避策としてはファイル形式やコンパイルの変更・証明書の連名化などを行います。インフォスティーラーは、セキュリティ対策を回避するために進化し続けているのです*1。
盗まれただけでは終わらない!認証情報を奪われる恐怖
認証情報を窃取されるとその後、どのような被害に遭うのでしょうか。
一般消費者の場合:アカウントを奪取され金銭的被害に遭う
一般消費者がWebサービスへのログインに使用する認証情報を盗まれると、攻撃者がアカウントに自由にログインできるようになります。初手でパスワードは変更され正規ユーザはログインができなくなり、個人情報もクレジットカード情報も全て盗まれてしまいます。また、パスワードを使いまわして使用している場合はリスト型攻撃によって別のWebサービスのアカウントも根こそぎ乗っ取られてしまいます。
自組織、会社従業員の場合:組織内に侵入され、サイバーインシデントに発展する
会社従業員の認証情報が盗まれてしまうと、企業で利用しているSaaSシステムに攻撃者が侵入し、機密情報の漏えいが始まります。また企業ネットワークへの認証情報を窃取された場合はその他の端末やサーバへの横展開を繰り返すことで更に重要なデータを搾取されてしまいます。当然ランサムウェアへの感染も考えられ、最悪システム全体がダウンします。
ここで、「認証情報を盗まれても2要素認証を設定しているので大丈夫!」と思われる方もいらっしゃると思います。2要素認証は有効ですが、必ずしも完璧なものではありません。2要素認証を傍受するツールキットも多く出回っており、セッションCookieを盗むことで2要素認証による保護を回避する手口も存在します。*2 このようなツールはインフォスティーラーとも呼ばれています。
インフォスティーラーという名の、犯罪エコシステムにおけるセンサー
対象のパソコンにインフォスティーラーを感染させることで認証情報やセッションCookieを取得することができます。多くの攻撃者から多種多様なインフォスティーラーが提供されており、例えばロシアの脅威アクターである「REDGlade」が提供する“RedLine Stealer”などが有名です。その他、Vidar、FickerStealer、Taurus、AZORultなども一般的です。RedLineに感染するとWebブラウザ、FTP接続、VPNから認証情報が抽出されます。*3さらにキーストローク、クリップボードのデータ、画面のスクリーンショット、ローカルデータなども取得していきます。
取得されたデータは自動的にブラックマーケットに出品され、そのまま外部へと流出し10ドル程度で販売されます。ブラックマーケットも複数存在しており、Russian Market、Genesis Store、2easy Shopなどが有名どころです。基本的に一つのマーケットに出品された情報は、購入することで公開されなくなりますが、他のマーケットには同時並行で出品されていますし、購入された情報がその後、再度公開されることを止めることは不可能です。
このようにインフォスティーラーマルウェアを開発する者・販売する者(初期アクセスブローカー)、ブラックマーケットを運営する者、認証情報を購入して悪用する者などそれぞれプロフェッショナルが役割を担い複雑なエコシステムとして機能している実態があります。
各プロセスに対し、セキュリティソリューションで漏えいのリスクを軽減することは可能です。
- インフォスティーラーに感染しないようにEDRやアンチウイルスを導入する
- 2要素認証を強制する
- パスワードマネージャーを導入する
- フィッシングメール訓練で社員を教育し、怪しいメールを開かないようにする
しかし、それでも情報が漏えいしてしまうというのが現実です。
もし、情報が漏洩してしまったら…
どれだけ厳重なセキュリティ対策を施している大企業でも、ダークウェブ上のブラックマーケットには漏えい情報が確認できます。そこで脅威インテリジェンスを活用し、漏えいしてしまった情報を監視するというアプローチをご紹介します。
脅威インテリジェンスを専門に提供するRecorded Future社は継続的かつ広範な自動化されたデータ収集および分析と、人による分析を組み合わせることにより、タイムリーかつ正確で実用的なインテリジェンスを提供します。
Recorded Future社の”Identity Intelligence”サービスを活用することで漏えいした認証情報がダークウェブ上で取り扱われていないかをリアルタイムに監視し、さらに漏洩の具体的な対応指示に必要な情報を取得することが可能です。主なユースケースとしては以下の通りです。
一般消費者に対して:
提供しているWebサービスにおいてサービス利用者の認証情報が漏えいしていないかを監視できます。これにより情報を漏洩された一般消費者に対してパスワード変更の依頼、パスワード変更時に既に漏えい済みのパスワードを設定しようとした際に警告を上げるなどの対応が可能になります。
自組織、会社従業員に対して:
こちらも一般消費者向けと同様のアクションに加え、
- いつ、どの従業員の端末が感染したか
- どのようなマルウェア(ファミリー名、ファイル名、ハッシュ)に感染したか
- 他にも感染している端末はないか
といった情報をご提供いたします。これにより、以降の横展開や類似被害を防止することができます。
出典(参考文献一覧)
※1 PR TIMES | インフォスティーラー『DUCKTAIL』による被害が拡大、1件あたり数十万米ドルの被害に
※2 The Record|実際に検出された 2FA を傍受できる 1,200 を超えるフィッシング ツールキット(参照日:2023-02-15)
※3 TechnologyMagazine|レポートは、悪意のあるアクターが毎分脅威を起動していることを明らかにします。 (参照日:2023-02-15)
