フィッシングだけじゃない!攻撃者の”入口”を作るマルウェア、インフォスティーラー
OpenAIの革新的なチャットボット「ChatGPT」が世界中から注目を集めて久しいですね。ジェネレーティブAIがどのようなワクワクする未来をもたらすのか非常に楽しみである反面、こういった技術がサイバー攻撃に悪用されることでフィッシング詐欺メールの文面がより自然になり、被害が拡大することも懸念されています。フィッシング詐欺でID/パスワードなどの認証情報を盗まれてしまうと攻撃者が攻撃対象の組織に侵入する”入口”として活用されてしまいます。
“入口”のカギとなる認証情報を窃取する方法はフィッシング詐欺の他にいくつも存在しています。例えば、攻撃対象組織のエンドポイント端末に情報窃取型マルウェア(インフォスティーラー)を感染させる、あるいはダークウェブ上に展開される特別なフォーラムを通じブローカーのサービスを利用して入手する、ダークウェブ上のブラックマーケットで購入するなど様々です。
ここでは認証情報を窃取されてしまった後の対策についてご紹介いたします。
認証情報を奪われる恐怖
認証情報を窃取されるとその後、どのような被害に遭うのでしょうか。
一般消費者の場合:アカウントを奪取され金銭的被害に遭う
一般消費者がWebサービスへのログインに使用する認証情報を盗まれると、攻撃者がアカウントに自由にログインできるようになります。初手でパスワードは変更され正規ユーザはログインができなくなり、個人情報もクレジットカード情報も全て盗まれてしまいます。また、パスワードを使いまわして使用している場合はリスト型攻撃によって別のWebサービスのアカウントも根こそぎ乗っ取られてしまいます。
自組織、会社従業員の場合:組織内に侵入され、サイバーインシデントに発展する
会社従業員の認証情報が盗まれてしまうと、企業で利用しているSaaSシステムに攻撃者が侵入し、機密情報の漏えいが始まります。また企業ネットワークへの認証情報を窃取された場合はその他の端末やサーバへの横展開を繰り返すことで更に重要なデータを搾取されてしまいます。当然ランサムウェアへの感染も考えられ、最悪システム全体がダウンします。
ここで、「認証情報を盗まれても2要素認証を設定しているので大丈夫!」と思われる方もいらっしゃると思います。2要素認証は有効ですが、必ずしも完璧なものではありません。2要素認証を傍受するツールキットも多く出回っており、セッションCookieを盗むことで2要素認証による保護を回避する手口も存在します。*1 このようなツールはインフォスティーラーとも呼ばれています。
インフォスティーラーという名の、犯罪エコシステムにおけるセンサー
対象のパソコンにインフォスティーラーと呼ばれる種類のマルウェアを感染させることで認証情報やセッションCookieを取得することができます。多くの攻撃者から多種多様なインフォスティーラーが提供されており、例えばロシアの脅威アクターである「REDGlade」が提供する“RedLine Stealer”などが有名です。その他、Vidar、FickerStealer、Taurus、AZORultなども一般的です。RedLineに感染するとWebブラウザ、FTP接続、VPNから認証情報が抽出されます。*2さらにキーストローク、クリップボードのデータ、画面のスクリーンショット、ローカルデータなども取得していきます。
取得されたデータは自動的にブラックマーケットに出品され、そのまま外部へと流出し10ドル程度で販売されます。ブラックマーケットも複数存在しており、Russian Market、Genesis Store、2easy Shopなどが有名どころです。基本的に一つのマーケットに出品された情報は、購入することで公開されなくなりますが、他のマーケットには同時並行で出品されていますし、購入された情報がその後、再度公開されることを止めることは不可能です。
このようにインフォスティーラーマルウェアを開発する者・販売する者(初期アクセスブローカー)、ブラックマーケットを運営する者、認証情報を購入して悪用する者など、それぞれプロフェッショナルが役割を担い複雑なエコシステムとして機能している実態があります。
各プロセスに対し、セキュリティソリューションで漏えいのリスクを軽減することは可能です。
- インフォスティーラーに感染しないようにEDRやアンチウイルスを導入する
- 2要素認証を強制する
- パスワードマネージャーを導入する
- フィッシングメール訓練で社員を教育し、怪しいメールを開かないようにする
しかし、それでも情報が漏えいしてしまうというのが現実です。
情報が漏えいしてしまった後にできること
どれだけ厳重なセキュリティ対策を施している大企業でも、ダークウェブ上のブラックマーケットには漏えい情報が確認できます。そこで脅威インテリジェンスを活用し、漏えいしてしまった情報を監視するというアプローチをご紹介します。
脅威インテリジェンスを専門に提供するRecorded Future社は継続的かつ広範な自動化されたデータ収集および分析と、人による分析を組み合わせることにより、タイムリーかつ正確で実用的なインテリジェンスを提供します。
Recorded Future社の”Identity Intelligence”サービスを活用することで漏えいした認証情報がダークウェブ上で取り扱われていないかをリアルタイムに監視し、さらに漏えいの具体的な対応指示に必要な情報を取得することが可能です。主なユースケースとしては以下の通りです。
一般消費者に対して:
提供しているWebサービスにおいてサービス利用者の認証情報が漏えいしていないかを監視できます。これにより情報を漏洩された一般消費者に対してパスワード変更の依頼、パスワード変更時に既に漏えい済みのパスワードを設定しようとした際に警告を上げるなどの対応が可能になります。
自組織、会社従業員に対して:
こちらも一般消費者向けと同様のアクションに加え、
- いつ、どの従業員の端末が感染したか
- どのようなマルウェア(ファミリー名、ファイル名、ハッシュ)に感染したか
- 他にも感染している端末はないか
といった情報をご提供いたします。これにより、以降の横展開や類似被害を防止することができます。
詳細はこちらからお問い合わせ下さい。
脚注(参考文献一覧)
※1 The Record|実際に検出された 2FA を傍受できる 1,200 を超えるフィッシング ツールキット(参照日:2023-02-15)
※2 TechnologyMagazine|レポートは、悪意のあるアクターが毎分脅威を起動していることを明らかにします。 (参照日:2023-02-15)
