「Recorded Future」ライターチームです。
近年、個人情報を窃取するインフォスティーラーの脅威が拡大しています。
この記事では、感染した端末から幅広いデータを盗み出すインフォスティーラーについて、その特徴や被害の未然防止策、万が一被害に遭った場合の対応策を解説します。
- 盗まれた情報を特定し攻撃の兆候を監視するRecorded Futureの資料はこちら
インフォスティーラーの対策をご検討中の方
目次
インフォスティーラーとは
インフォスティーラー(Infostealer)は、感染した端末からパスワードやクレジットカード番号、銀行口座情報、キーボード入力履歴、クリップボード内のデータ、スクリーンショット、さらにはシステム内部ファイルなど、あらゆる機密情報を密かに窃取するマルウェアです。主にバックグラウンドで動作し、ユーザーが気づかないうちに情報を外部サーバへ送信します。
インフォスティーラーと他のマルウェアの違い
インフォスティーラーは「Information Stealer」の名の通り、感染した端末から機密情報を窃取することに特化しています。
トロイの木馬が内部ネットワークへの侵入を、スパイウェアがユーザー操作の監視を、ランサムウェアがファイル暗号化と身代金要求を目的とするのに対し、インフォスティーラーは一切破壊や脅迫を行わず、端末内全域のデータ(ブラウザ保存情報、クリップボード、スクリーンショット、キーログなど)を収集し、外部サーバへ送信します。
インフォスティーラーが検知・対策しにくい理由
まず、ファイルサイズを抑えつつGo言語(Googleが開発した効率的なプログラミング言語)などでコンパイルされたペイロード(攻撃の本体となるコード)は、従来型AV(アンチウイルスソフトウェア)のシグネチャ検知(既知のマルウェアと一致するパターンを検出する手法)を容易に回避します 。
さらに、LotL(Living off the Land:既存の正規ツールを悪用する攻撃手法)攻撃を利用し、Windows標準コマンドや既存DLL(動的リンクライブラリ)を悪用、プロセスホローイング(正規プロセスに悪意あるコードを挿入する技術)など多層的にカモフラージュを組み合わせ、EDR(Endpoint Detection and Response:エンドポイントでの脅威検出と対応)監視ポイントを巧妙にすり抜けます。
加えて、MaaS(Malware-as-a-Service:マルウェアをサービスとして提供するビジネスモデル)モデルで多数の亜種が自動的に生成・流通するため、シグネチャベース(既知のパターンに基づく検出)だけでなく行動ベース検知(挙動に基づく検出)も追いつかないケースが増加しています 。
フィッシングよりも恐ろしい「インフォスティーラー」
世界中で注目を集めるOpenAIの革新的なチャットボット「ChatGPT」。生成AIが未来の可能性を広げる一方で、サイバー攻撃への悪用も懸念されています。例えば、フィッシング詐欺メールの文面がより自然になり、被害が拡大する恐れがあります。
フィッシング詐欺によってIDやパスワードなどの認証情報が盗まれると、攻撃者が組織への侵入口として利用する可能性があり、その影響は計り知れません。
認証情報を窃取する手法は他にも存在しますが、特に脅威となるのが「インフォスティーラー」と呼ばれるマルウェアです。その一種である「DUCKTAIL」は、ターゲットにフィッシング攻撃を仕掛けるために、WhatsAppなどの新たな経路を利用しています 。
さらに、検出を回避するために、ファイル形式やコンパイル方法の変更、証明書の連名化などの手法が用いられています。インフォスティーラーは、セキュリティ対策を回避するために進化を続けています。
インフォスティーラーの被害に遭うと・・・
認証情報を窃取されるとその後、どのような被害に遭うのでしょうか。
一般消費者の場合:アカウントの乗っ取りと金銭的被害
一般消費者がWebサービスへのログインに使用する認証情報を盗まれると、攻撃者がアカウントに自由にアクセスできるようになります。初期段階でパスワードが変更され、正規ユーザーはログインできなくなり、個人情報やクレジットカード情報などがすべて盗まれてしまいます。
また、パスワードを使い回している場合、リスト型攻撃によって他のWebサービスのアカウントも次々と乗っ取られる可能性があります。
自組織、会社従業員の場合:内部侵入とサイバーインシデントの発展
企業の従業員の認証情報が盗まれると、攻撃者が企業で利用しているSaaSシステムに侵入し、機密情報の漏洩が始まります。
さらに、企業ネットワークへの認証情報が窃取された場合、他の端末やサーバーへの横展開が行われ、より重要なデータが搾取される可能性があります。ランサムウェアへの感染も考えられ、最悪の場合、システム全体がダウンする恐れがあります。
2要素認証(2FA)でも安心できない
「認証情報を盗まれても2要素認証を設定しているから大丈夫」と考える方もいるかもしれません。しかし、2要素認証は万能ではありません。
攻撃者は、セッションCookieを盗むことで2要素認証を回避する手法を用いることがあります。これは「パス・ザ・クッキー(Pass-the-Cookie)」攻撃と呼ばれ、インフォスティーラーがセッションCookieを窃取し、攻撃者がそれを利用して認証済みのセッションを乗っ取るものです 。
このような手法により、2要素認証を設定していても、セッションCookieが盗まれると、攻撃者が認証済みのセッションを再現し、アカウントにアクセスできてしまいます。
- 盗まれた情報を特定し攻撃の兆候を監視するRecorded Futureの資料はこちら
インフォスティーラーの対策をご検討中の方
インフォスティーラーという名の、犯罪エコシステムにおけるセンサー
対象のパソコンにインフォスティーラーを感染させることで認証情報やセッションCookieを取得することができます。多くの攻撃者から多種多様なインフォスティーラーが提供されており、例えばロシアの脅威アクターである「REDGlade」が提供する“RedLine Stealer”などが有名です。
その他、Vidar、FickerStealer、Taurus、AZORultなども一般的です。RedLineに感染するとWebブラウザ、FTP接続、VPNから認証情報が抽出されます。*3さらにキーストローク、クリップボードのデータ、画面のスクリーンショット、ローカルデータなども取得していきます。
取得されたデータは自動的にブラックマーケットに出品され、そのまま外部へと流出し10ドル程度で販売されます。ブラックマーケットも複数存在しており、Russian Market、Genesis Store、2easy Shopなどが有名どころです。
基本的に一つのマーケットに出品された情報は、購入することで公開されなくなりますが、他のマーケットには同時並行で出品されていますし、購入された情報がその後、再度公開されることを止めのは不可能です。
このようにインフォスティーラーマルウェアを開発する者・販売する者(初期アクセスブローカー)、ブラックマーケットを運営する者、認証情報を購入して悪用する者などそれぞれプロフェッショナルが役割を担い複雑なエコシステムとして機能している実態があります。
各プロセスに対し、セキュリティソリューションで漏えいのリスクを軽減することは可能です。
インフォスティーラーの被害対策
インフォスティーラーの対策においては「検知・防御・認証・監視」の多層化が重要で、ダークウェブ監視を含む脅威インテリジェンスの活用が被害拡大防止の鍵となります。
エンドポイントの監視と防御(EDR・アンチウイルス)
エンドポイント検出・対応(EDR)や信頼性の高いアンチウイルスソフトウェアを導入し、端末上の異常な挙動やマルウェアの兆候をリアルタイムで監視・遮断します。これにより、インフォスティーラーの感染リスクを低減できます。
強固な多要素認証(MFA)の実施
すべてのシステムアクセスに対して、多要素認証(MFA)を強制します。特に、SMSやメールベースの認証よりも、認証アプリやハードウェアトークンを使用することで、セキュリティを強化できます。
パスワードマネージャーの活用
強力でユニークなパスワードを各アカウントに設定し、パスワードマネージャーを利用して安全に管理します。これにより、パスワードの使い回しを防ぎ、認証情報の漏えいリスクを減少させます。
フィッシング対策の徹底
社員に対して定期的なフィッシングメール訓練を実施し、疑わしいメールやリンクを開かないよう教育します。また、メールフィルタリングシステムを導入し、悪意のあるメールの受信を防ぎます。
セッションハイジャック対策
インフォスティーラーは、セッションCookieを盗むことで2要素認証を回避する手法を用いることがあります。これを防ぐために、セッション管理の強化や、セッションCookieの保護を行うセキュリティ対策を導入します。
継続的な脅威インテリジェンスの活用
ダークウェブや不正マーケットプレイスを監視し、組織の認証情報や機密データの流出を継続的に監視します。監視対象は認証情報だけでなく、内部ドキュメントの断片・従業員個人情報・サプライチェーン関連データまで拡大し、侵害リスクを多角的に分析します。
45カ国以上の政府機関に採用されている脅威インテリジェンス
どれだけ厳重なセキュリティ対策を施している大企業でも、ダークウェブ上のブラックマーケットには漏えい情報が確認できます。そこで脅威インテリジェンス「Recorded Future」を活用し、漏えいしてしまった情報を監視するというアプローチをご紹介します。
脅威インテリジェンスを専門に提供するRecorded Future社は継続的かつ広範な自動化されたデータ収集および分析と、人による分析を組み合わせることにより、タイムリーかつ正確で実用的なインテリジェンスを提供します。
Recorded Future社の”Identity Intelligence”サービスを活用することで漏えいした認証情報がダークウェブ上で取り扱われていないかをリアルタイムに監視し、さらに漏洩の具体的な対応指示に必要な情報を取得することが可能です。主なユースケースとしては以下の通りです。
一般消費者に対して:
提供しているWebサービスにおいてサービス利用者の認証情報が漏えいしていないかを監視できます。これにより情報を漏洩された一般消費者に対してパスワード変更の依頼、パスワード変更時に既に漏えい済みのパスワードを設定しようとした際に警告を上げるなどの対応が可能になります。
自社組織、会社従業員に対して:
こちらも一般消費者向けと同様のアクションに加え、
- いつ、どの従業員の端末が感染したか
- どのようなマルウェア(ファミリー名、ファイル名、ハッシュ)に感染したか
- 他にも感染している端末はないか
といった情報をご提供いたします。これにより、以降の横展開や類似被害を防止することができます。
- 盗まれた情報を特定し攻撃の兆候を監視するRecorded Futureの資料はこちら
インフォスティーラーの対策をご検討中の方
認証情報が漏えいしていないかを監視する「Recorded Future」の関連資料
-
脅威インテリジェンス
ツールの概要資料脅威インテリジェンスプラットフォーム「Recorded Future」の概要、ユースケース、提供形態などがわかる資料
-
認証情報の漏えい対策を強化する方法
IDやパスワードなどの認証情報漏えいをいち早く把握しリスク対策を講じるなど、プロアクティブなセキュリティ対策を可能にする方法を紹介した資料
-
導入事例
Recorded Futureを活用し、自社のセキュリティ対策の課題をどのように解決したかを紹介した資料
出典(参考文献一覧)
※1 PR TIMES | インフォスティーラー『DUCKTAIL』による被害が拡大、1件あたり数十万米ドルの被害に(参照日:2023-02-15)
※2 The Record|実際に検出された 2FA を傍受できる 1,200 を超えるフィッシング ツールキット(参照日:2023-02-15)
※3 TechnologyMagazine|レポートは、悪意のあるアクターが毎分脅威を起動していることを明らかにします。(参照日:2023-02-15)
