インフォスティーラーマルウェアの理解と対策：徹底ガイド

本記事では、インフォスティーラーマルウェアから自組織を守るために実施できる基本的なステップを簡単に解説します。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2024年7月1日付）を翻訳したものです。

ここ7年間にわたって、Flashpointはインフォスティーラーマルウェア（情報窃取型マルウェア）が大きく勢力を増していくのを観測してきました。その単純さや手に入りやすさ、またコストの低さから、このマルウェアは脅威アクターたちの間でかなりの人気を誇るようになっており、ひいてはランサムウェア攻撃やその他のインパクトの大きいデータ侵害に関しても、攻撃の糸口がインフォスティーラーによって作られるケースが大部分を占めるようになってきています。したがって、成長を続けるこの脅威から自組織を保護することが絶対的に重要です。本ブログ記事では、インフォスティーラーマルウェアによってもたらされるリスクについて解説し、機微なデータの完全性を確保するためにセキュリティチームが講じることのできる基本的なステップについても簡単に紹介します。

インフォスティーラーマルウェアとは

インフォスティーラーとは、感染したシステムからログイン認証情報（一般的には「ログ」と呼ばれます）などの機微な情報を収集するタイプのマルウェアのことを言います。漏洩した認証情報を使えば、システムへ侵入したりシステム内を水平移動（ラテラルムーブメント）することが可能になるため、「ログ」は脅威アクターたちにとって非常に高価値なデータです。中でも特に、SalesforceやSlack、Microsoft Office 365といったサードパーティのSaaSアプリに関連するログにはかなりの価値があります。

不法マーケットプレイスに掲載されたログの例。自動入力（オートフィル）された情報やブラウザクッキーのほか、ブラウザや任意のプロファイルに保管されているパスワードが含まれている（ソース：Flashpoint）

不法マーケットプレイスに掲載されたログの例。ブラウザから盗まれたWebサイトのログイン情報とクッキーが含まれている（ソース：Flashpoint）

インフォスティーラーのライフサイクルとTTP

たった1件の認証情報が漏洩しただけでも、データ侵害やサイバー攻撃の発生に繋がり得ます。例えば2024年1月、ヨーロッパのある超大手通信会社が大規模なネットワーク障害を経験し、ネットワークトラフィックのおよそ半分に影響が生じました。インシデント発生の根本原因となったのは、インフォスティーラーマルウェアによって漏洩した1件の脆弱なパスワードだったことがわかっています。以下のライフサイクルで示すのが、本インシデントの大まかな流れです。

インフォスティーラーのライフサイクル

• 感染：インフォスティーラーマルウェアを使ってログイン認証情報が抜き出されます。脆弱なパスワード1件を含むこれらの認証方法は、アンダーグラウンドマーケットで販売されました。

• エクスポージャー：売りに出されていた認証情報には、ヨーロッパIPソリューションネットワーク調整センター（RIPE）のアカウントへのアクセス情報と重要データベースへのアクセス情報が含まれていました。これはIPアドレスから成るデータベースで、ヨーロッパ、中東、中央アジアにおける各アドレスの所有者情報も含まれていました。

• 侵入・エスカレーション：これらの認証情報を購入した脅威アクターは、前述の脆弱なパスワード1件を利用して当該組織のRIPEアカウントへログインし、さらなる有害行為を実施し始めます。侵害されたこのアカウントでは、MFAや2FAが有効化されていませんでした。

• 攻撃：悪意あるアクターらが大規模なネットワーク障害を引き起こします。これによりネットワークトラフィックの半分が影響を受けました。

インフォスティーラーに関連するTTP

脅威アクターらはインフォスティーラーの種類に応じてTTPを変化させ、セキュリティ措置をバイパスしようとする可能性があるため、組織側としては包括的な防御策を講じることが肝要です。以下に挙げるMITRE ATT&CKのタグは、情報窃取型マルウェアに関連する一般的なTTPを定義する上で役立ちます。

• 正規のアカウント（T1078）：Telegramチャンネルやサブスクサービス、あるいはRussian Marketといった場で入手される、スティーラーのログで集められた情報。
• コマンドとスクリプトインタプリタ（T1059）：コマンドを実行してマルウェアを展開する。
• 難読化されたファイルや情報（T1027）：難読化のテクニックを通じて検出を回避する。
• パスワード保管庫から得られた認証情報（T1555）：情報窃取型マルウェアが保管庫からパスワードを抜き取る。
• クエリレジストリ（T1012）：情報窃取型マルウェアがさらなるシステム情報およびユーザー情報を集める。
• 情報リポジトリから得られたデータ（T1213）：攻撃者がさまざまな情報リポジトリからデータを集める。
• Webサービスを利用した抽出（T1567）：データが攻撃者が制御する外部のWebサーバーへ抽出される。
• 影響行使のためのデータ暗号化（T1486）：データは抽出前に暗号化されるか圧縮される。

インフォスティーラーマルウェアへの対策

ステップ1：特化型セキュリティ対策の実施

インフォスティーラーから自組織を守るための手段として特に効果的なのが、具体的かつこの脅威に特化したセキュリティ対策を確実に導入することです。その重要性は、組織がサードパーティのサービスやプラットフォームに依存することが増えつつある中でさらに高まっています。以下に挙げるのは、インフォスティーラーがもたらすリスクを大幅に軽減してくれるベストプラクティスです。

• 強力なパスワードと多要素認証を使用する：セキュリティの層を1層追加することで、攻撃者が不正アクセスを達成するのをより困難にします。
• 認証情報をローテーションさせる、または更新する：パスワードを定期的に変更することで、攻撃者が盗難認証情報を悪用できるチャンスを減らすことができます。
• ネットワークアクセスを制限する：信頼されたロケーション、あるいは特定のIPレンジからのアクセスのみを許可するようにします。
• 漏洩セッションクッキーが使用されていないかモニタリングする：モニタリングツールを配備するのに加え、従業員にセッションからログアウトすることとブラウザクッキーを消去することの重要性を周知します。
• サードパーティや委託先をモニタリングする：アクセス許可を定期的に見直し、監査を行います。委託先の企業にも同じセキュリティ基準が適用されている状態を確保し、定期的にセキュリティ評価を実施しましょう。

これらのベストプラクティスの多くは十分に確立され、一般的に実施されている一方で、セキュリティチームは、これに従うことが最初のステップに過ぎないことを忘れてはなりません。例えば、システムやソフトウェアによっては、MFAを要求しなかったり、ユーザーにパスワードの更新を促さなかったりする場合があります。しかし、組織自身がMFAまたは2FAの使用を義務付け、認証情報を定期的に更新することは非常に重要です。これらのステップは基本的なものであるとはいえ、実現できていなければそのギャップは悪用され、被害者システムへの侵入原因になってしまうことがよくあります。これは、比較的規模の大きい組織においても同様です。

ステップ2：盗難ログのモニタリング

基本となる保護措置が確実に実施されている状態になった後は、不法マーケットプレイスをモニタリングし、自組織または関連するサードパーティが流出元だとされている盗難ログが出回っていないかを常に見張っておく必要があります。とは言っても、脅威インテリジェンスの包括的なソースを有していない場合、このような対応を行うことはかなりの困難を伴うでしょう。なぜならTelegramチャンネルやサブスク形式のログサービス、またログショップといったものは数十万件も存在するからです。

Flashpointは、悪意あるアクターたちが以下に挙げるドメイン経由で組織へアクセスしようと試みた事例を複数観測しています。

• 1password.com
• atlassian.net
• greenhouse.io
• okta.com
• salesforce.com
• service-now.com
• sharepoint.com
• slack.com
• splunkcloud.com
• zendesk.com
• zoom.us

Flashpointを利用すれば、組織は自らのインフラの棚卸しを行ったり、組織内ドメインをFlashpointのアナリストと共有したりすることが可能です。そうすることによりカスタムアラートが作成でき、セキュリティチームは何らかの潜在的なインシデントが生じた際に、Flashpointの大規模なコレクションを基にした通知を受け取れるようになります。

ステップ3：不法マーケットプレイスからのプロアクティブなログ入手および削除

モニタリングに加えて、組織自身でプロアクティブに不法マーケットプレイスからログを入手したり、取り除いたりすることも推奨されます。FlashpointのRFI（情報提供依頼書）サービスを利用してリクエストを出していただければ、ログの入手や、ログショップからのログ削除に伴う事前安全対策の実施などを弊社のアナリストが代行します。

不法マーケットで宣伝されている盗難ログの例（ソース：Flashpoint）

ステップ4：インテリジェンスを利用し、脅威が発現する前に先手を打つ

最後に、組織はインフォスティーラーの最新トレンドやテクニックについての知識を常に仕入れておく必要があります。というのも、新種のインフォスティーラーはコンスタントに不法マーケットプレイスで宣伝されていますし、またどのスティーラーもそれぞれの防御策バイパス能力を高めていっているという状況があるためです。

Flashpoint Igniteのような脅威インテリジェンスの包括的なソースを活用することにより、セキュリティチームはかつてないほどクリアかつ広い視点で脅威ランドスケープを見渡すことができるようになります。つまり使い勝手の良い単一のプラットフォームを介して、ディープ・アンド・ダークウェブ、オープンソースインテリジェンス（OSINT）、脆弱性、そして漏洩データに関する手がかりや情報が手に入るようになるということです。Flashpointが提供する大規模コレクションとインテリジェンスレポートが自由に利用できれば、セキュリティチームは今後生じ得る脅威に常に先回りして対処できるようになります。

Flashpointでインフォスティーラー対策を

インフォスティーラーマルウェアは組織に重大なリスクをもたらしますが、最適なデータとインテリジェンスを基にした適切なセキュリティ対策を講じれば、こうしたリスクは軽減可能です。今回紹介したステップに従うことで、セキュリティチームはインフォスティーラーに対するレジリエントな防御体制を構築し、重要資産をしっかりと確実に保護できるようになります。デモを体験し、ぜひその効果を実感してみてください。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。