-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
「インフォスティーラー(Infostealer)」とは、感染したシステムからログイン認証情報をはじめとするさまざまな情報を盗み取るタイプのマルウェアのことです。「インフォメーションスティーラー」や「情報窃取型マルウェア」とも呼ばれるほか、単に「スティーラー」と表現される場合もあります。
一般的に、インフォスティーラーは以下に挙げるような情報を盗み出す性能を持ちます。ただし、どの情報の窃取に対応しているかはスティーラーの種類によって異なる場合があります。
- ユーザーの認証情報:ユーザー名、パスワード、ブラウザログイン関連のリンク、秘密鍵、2FA(2要素認証)のバックアップコード、サーバーパスワード、VPNやFTPの情報など
- ブラウザデータ:ブラウザ履歴、検索履歴、Cookie、オートフィルデータ(例:保存されたクレジットカード番号)など
- コミュニケーションデータ:メッセージのやり取りや、Eメールでの会話のログ
- 文書やテキストファイル:金銭に関わる情報、コーポレートデータ、暗号秘密鍵、暗号資産ウォレットなど
- コンピューター情報:OS情報、メタデータ、IPアドレス、インストールされているアプリの情報、アンチウイルスソフトウェアの情報、エンドポイント検出能力に関する情報など
- 画像:デスクトップのスクリーンショットなど
インフォスティーラーへの感染経路にはさまざまなものがありますが、一般的なのはフィッシングや悪性Web広告(マルバタイジング)、不正なWebサイトなどを通じてユーザーにマルウェアをダウンロード・実行させるというものです。このほかにも、ClickFix(偽の操作指示を表示してユーザーに実行を促す手口)などのソーシャルエンジニアリングを通じて、スティーラーを配布しようとする攻撃も確認されています。
インフォスティーラーが盗み出した認証情報は「ログ」と呼ばれ、ダークウェブやTelegramなどの不正なマーケット上で売買されることがあります。こうした情報は単体で販売される場合もあるものの、複数の認証情報をまとめた「ログのセット」という形で売りに出されるのが一般的です。
盗難認証情報を使えば、システムへ侵入したりシステム内を水平移動(ラテラルムーブメント)することが可能になるため、ログは脅威アクターたちにとって非常に高価値なデータだと言えます。組織の側としては、認証情報が万が一盗まれたり漏洩したりした場合に備えて、多要素認証(MFA)を設定しておくことや、パスワードを複数サービスで使い回さないようにすることなどが重要です。
加えて、自組織の従業員アカウントの認証情報が流通していないかを確認するために不正なマーケットを継続的にモニタリングするというプロアクティブな取り組みも、有効なスティーラー対策の1つです。
