DIME MAGAZINE
情報セキュリティメーカーのデジタルアーツは、情報を暗号化、窃取し、その見返りに金銭を要求するランサムウェア被害にあった組織の公表内容をもとに、ランサムウェアの侵入原因の調査、及びメール添付ファイル、URLのマルウェア種別の調査を実施。インフォスティーラー(InfoStealer、情報窃取マルウェア)の実態について分析を行なった。
本稿では同社リリースをベースに、その概要をお伝えする。
ランサムウェアの侵入原因を調査
2025年3月に警察庁が公開した調査レポート、「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(※1)では、感染経路(侵入経路)の約9割が「VPN機器」と「リモートデスクトップ」とされていた。
※1 警視庁「令和6年におけるサイバー空間をめぐる脅威の情勢について」https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/info_security.html
この調査を受け、デジタルアーツでは、ランサムウェアによる被害に遭った組織の公表内容をもとに、攻撃者がVPNやリモートデスクトップ用の機器に対して侵入が可能になった原因について(なぜ侵入ができたのか)調査を行なった結果、脆弱性や設定不備だけでなく、認証情報をもとに侵入しているケースが一定数存在することがわかった。
図において、「脆弱性」はソフトウェアやネットワーク接続機器などの脆弱性をつくもの、「認証情報」は従業員アカウントや管理者アカウントの悪用など、「設定不備」はアクセス制限がなく、ブルートフォースを許して侵入されたものなどを示す。
■認証情報の流出はなぜ起こる?インフォスティーラーが関係か
認証情報をもとに、攻撃者の侵入を許しているという事実がわかったが、「認証情報がそもそもなぜ流出したのか」を探ることは非常に困難だ。認証情報が流出する要因としては以下が考えられる。
・フィッシングサイト経由で窃取された
・インフォスティーラーなどのマルウェアにより窃取された
フィッシングというと個人を標的としているイメージが強いものの、業務用の認証情報を狙う攻撃もある。実際に、認証情報を同期する設定にしていた個人アカウントが窃取された結果、同期していた業務利用の認証情報も窃取され、組織内に侵入されたという事例も報告されている。
■インフォスティーラーの台頭、証券口座不正アクセスの被害拡大
「インフォスティーラー(InfoStealer、情報窃取マルウェア)」は、ユーザーの個人情報や機密データを、Webブラウザーやメールクライアントなどから不正に収集するマルウェアの一種だ。
ID・パスワードの認証情報に加え、銀行口座情報、クレジットカード番号、電子メールの内容などの情報が、感染した端末から窃取される。
近年、ネット証券口座などへの不正アクセスが大きな問題となっているが、その際に用いられる認証情報はインフォスティーラーにより窃取された可能性も指摘されており、身近に迫った脅威と言える。
インフォスティーラーは、メールの添付ファイルや悪質なWebサイトなどを通じて拡散され、ユーザーが気付かない間に感染することが多く、また難読化や検出回避技術に長けているため発見が難しく、長期間にわたって情報を盗み続けることが可能。これらの理由から、サイバー犯罪者にとって非常に人気のツールとなっている。
デジタルアーツによる添付ファイル、URL調査でも多数のインフォスティーラーを確認
デジタルアーツの提供するメールセキュリティ「m-FILTER」のユーザーが受信した、悪性ファイルが添付されたメール(メール隔離/削除数含む)をマルウェア別に分類したところ、上位3つはいずれもインフォスティーラー感染を狙うものとなっていることがわかった。
また、デジタルアーツが様々なデータソース(※2)から収集した悪性URL(フィッシングは含まない)をマルウェア別に分類すると、こちらもインフォスティーラー、もしくはインフォスティーラーをダウンロードさせるためのマルウェアが上位を占めていた。
※2 自社データベースの「脅威情報サイト」カテゴリに該当するURL、データ提供元からの悪性情報、一般公開された悪性情報を参照
今回の調査では、ランサムウェアの侵入原因(なぜ侵入ができたのか)を調査し、34%が「認証情報」によるものであると判明した。
これらの認証情報はインフォスティーラーによって窃取され、その認証情報を使って組織内へ侵入を許し、ランサムウェア攻撃が仕掛けられることも少なくない。
また、インフォスティーラーの多くが、メールとWebの両方でマルウェアの上位を占めるほど拡散しており、犯罪者に人気であることが裏付けられた。
インフォスティーラーは感染に気づきにくく、被害が重大になる傾向がある。特に被害が深刻な場合や、法人環境での感染が疑われる場合には、セキュリティの専門家や警察への相談が重要だ。
対策としては、メールとWebのセキュリティ対策が必要であり、加えて多要素認証の導入や最小限の権限設定を行うなど、認証認可の適切な設定も重要になる。
インフォスティーラーへの対策を行なうことが、同時にランサムウェア対策にもなるといえるだろう。
調査概要
対象/自組織が直接的な被害にあったランサムウェアインシデント(業務委託先が侵害され、委託元から預けていたデータに影響を受けたが、委託元への侵害はなかった事例は含まない)
期間/2024年1月~2025年5月(インシデントの初公表日。分類は最新情報を確認。)
総数/126件 有効回答:38件(侵入原因に言及があったもの)
構成/清水眞希
最新号
