ランサムウェアやそのほかの大きな影響を与えるデータ侵害の主なベクターとして、情報窃取型マルウェアを活用する事例が増えています。スティーラーはどんなマルウェアなのか、仕組みはどうなっているのか、侵害されたデータを使って脅威アクターが何をしているのかを理解しましょう。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年1月10日付)を翻訳したものです。
要点
Flashpointでは、脅威アクターの戦術が進化し、ログに加えてブラウザの設定やオペレーティングシステム(OS)のデータも収集しようとしていることを観測しています。こういったブラウザのフィンガープリントを採取し、検出防止機能を備えたブラウザを使うことで、脅威アクターは盗まれたセッションクッキーと一致するようフィンガープリントを偽装し、アカウントへのアクセスを可能にしています。
情報窃取型マルウェア、別名スティーラーは、標的システム内の対象データを狙い、攻撃者が別の目的で利用できるようこれを盗み出す性能を持つマルウェアの一種です。主なターゲットにはシステム情報やブラウザのデータから、クレジットカード、暗号ウォレットまでがあります。
スティーラーは20年近く前から使用されています。「Zbot」の名でも知られる「ZeuS」が2006年に初めて現れて以来、スティーラーは不法コミュニティで総じて高い需要があり、脅威アクターにとっては効果的なデジタル兵器であり続けています。
過去7年間で情報窃取型マルウェアの販売を宣伝したスレッド数(重複なし、四半期ごとに集計)
スティーラーが勢力を増加
Flashpointでは、過去7年間にスティーラーの販売・使用事例が大きく伸びていることを観測しています。スティーラーは多くの場合、不法フォーラムで販売・宣伝されており、料金はサブスクリプション形式で月額50〜250ドルです。
Flashpointのアナリストは、スティーラーの関心が高まっている背景には4つの主な要素があると考えています。まず、スティーラーが抜き取った非常に貴重なデータは、個人単位で悪用できることが挙げられます。ランサムウェアのような、ほかの不法オペレーションを収益化するには大規模で経験豊富なチームが必要になることが多く、それとは極めて対照的です。
さらに、以下のような特徴がスティーラーの勢力増加を後押ししています。
- 複雑ではないプログラム
- ソースコードの圧倒的な入手のしやすさ
- 間接費が低額
複雑ではないプログラム
スティーラーマルウェアの構成は複雑ではありません。主な機能は、ファイルディレクトリとレジストリキーを列挙し、そのデータを転送可能な形式(通常はZIPファイル)にまとめてリモートサーバーに送信すること。結果としてプログラムがシンプルになるため、マルウェア開発に興味を抱く脅威アクターにとって新規参入の障壁が低くなります。
ソースコードの圧倒的な入手のしやすさ
スティーラーマルウェアのコーディングはシンプルなため、脅威アクターは不正なソースコードを簡単に入手できるようになっています。このためにはもちろんどこを探せばいいのか知っていることが求められますが、GitHubなど一般的に使用されているサイトの場合は自由に利用できるスティーラー種が多く掲載されているため、あちこち調べ回る必要はありません。さらに、人気のあるスティーラーは競合アクターによって頻繁に侵害されており、クローンやフォーク版が作成・販売されています。「Arkei」のコピーで人気の高い「Vidar」株が一例です。このVidarが流出した結果、現在では使われていないと思われる「Mars」や「Oski」の作成につながりました。
間接費が低額
有効性が高いにもかかわらず、スティーラーは間接費を抑えられる傾向があります。作り方次第では、サーバーの維持費用も下げることが可能です。例えば、2020年には「StormKitty」と呼ばれるオープンソースの情報窃取型マルウェアがあり、これはTelegramチャンネルにログを送信するようプログラムされていました。Flashpointではそれから数年間、多くの脅威アクターがStormKittyのクローンの販売を試みた事例を追跡・記録しています。
スティーラーマルウェアの攻撃チェーンを理解する
スティーラーマルウェアを使う主な目的は、データを収集することとデータを抜き取ること。Flashpointのアナリストが観測した中で、最もよく狙われたデータの種類は以下の通りです。
- ハードウェアの仕様、言語、ホスト名、インストール済みのソフトウェアなどのシステム情報
- クレジットカード
- 暗号通貨ウォレット
- オートフィル情報
- アカウントの認証情報
- Cookieや拡張データなどのブラウザデータ
現在のスティーラーはほとんどの場合、同じ種類のデータを標的にするため、スティーラーの活動は通常、エンドポイントの検知サービスによって特定される可能性があります。脅威アクター側はこれに対抗し、マルウェアをパッケージ化または難読化する暗号化サービスへ頻繁に資金を注ぎ込み、マルウェアのサンプルを使用して静的検知を行うウイルス対策を回避しています。
初期段階の感染とスティーラーによる活動の可能性を表す兆候
スティーラーはフィッシングや偽ソフトウェアのダウンロード、2段階目のペイロードの投下といったさまざまな一般の初期アクセスベクターを通じ、標的のシステムを感染させます。未確認のプログラムが以下のような動作を実行している場合、それはスティーラーによる活動の可能性があります。
- Uninstallレジストリキーにアクセスしている
- ブラウザのファイルストレージからデータを読み取り、コピーしている
- 特に暗号資産関連ブラウザで利用される拡張機能を狙っている
データの収集と抽出
システムが感染した後、データはコマンドアンドコントロールユニットへと抜き取られます。盗まれたこのデータはログ(ログイン認証情報の省略語)と呼ばれています。ログにはアクティブなセッションクッキーが含まれていることが多く、これを的確に利用することで、脅威アクターはアカウントの認証情報と多要素認証を求められることなくアカウントにアクセスできるようになる可能性があります。
スティーラーマルウェアによって収集されたログのデータ
Flashpointは、脅威アクターがログに加えて、ブラウザの設定に関するデータやOSのデータも集めようとして手口を進化させていることを観測しています。こういったブラウザのフィンガープリントを収集し、検知に対抗する機能を備えたブラウザを使うことで、脅威アクターは盗まれたセッションクッキーに一致するようフィンガープリントを偽装し、アカウントへのアクセスを可能にしています。
脅威アクターがスティーラーマルウェアから利益を得る方法
漏洩したデータはさまざまな方法で使われる場合がありますが、最も一般的な利用方法としては、データを売るなどしてお金にするか、さらに悪用するといったものが挙げられます。ログはさまざまな手段で販売されており、悪意のあるアクターは、銀行の認証情報など興味のある特定のデータを抜き取り、残りをRussian Marketや2easyなどの不正なマーケットプレイスで販売することが多くあります。さまざまな種類のログが不法なボットショップで販売されており、これらは買い手の興味に応じた検索基準に基づいて見つけることができます。
また脅威アクターは、独自のフィードやサービスを立ち上げることがあり、自身のオペレーションを管理するTelegramボットを利用しているアクターもいます。Flashpointはこれまでに、多くの脅威アクターがサブスクリプションサービスを開始し、入手したばかりのログを顧客に提供し続けていることを観測してきました。
そのほかにも、ログで見つかる侵害された認証情報やセッションクッキーは、アカウントに不正アクセスする目的だけでなく、クレジットカードや暗号通貨ウォレットからお金を流出させたり、盗んだりするためにさらに悪用される場合があります。スティーラーが盗んだデータはいかようにも利用でき、容易に金銭を得たり、アクセスベクターとして使えたりすることから、脅威アクターのコミュニティでは価値の高いものとして考えられています。
Flashpointで新たな脅威の一歩先へ
最近の情報窃取型マルウェアの隆盛は、デジタル脅威が進化し続けていることをはっきりと痛感させるものです。ほとんどの場合、こういったマルウェアを使う動機は金銭的な利益を得ることに根ざしていますが、スティーラーは変化し続けており、これまで以上にアクセスしやすく、使いやすくなっています。備えが不十分であれば、セキュリティチームは大規模なサイバー攻撃に直面し、その対応に膨大な費用がかかるようなデータ侵害に見舞われるかもしれません。常に脅威アクターの先手を取るには、最高クラスの脅威インテリジェンスを備えることが必要です。トライアルについてはこちらにお問い合わせいただいた上で、より良質な情報でリスクに関する意思決定をどう改善できるのかをお確かめください。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。