注目を集める情報窃取マルウェア：情報窃取マルウェアとは？ 我々が理解しておくべき理由とは？

情報窃取マルウェアは、感染先のデバイスから機密情報を窃取するよう設計されたマルウェアであり、感染した端末はボットと呼ばれることもあります。情報窃取マルウェアは情報を窃取するとログ（窃取した情報のレコード）を作成し、攻撃者はそれらのログを回収して販売することによって金銭化したり、ランサムウェア攻撃のように直接的な攻撃を実行する際の初期アクセスとして利用します。情報窃取マルウェアの具体例としては、RedLine Stealer、Raccoon Stealer、Vidar、Meta Stealer、Lumma、Stealc、RiseProなどが挙げられます。

それでは、情報窃取マルウェアはどのようにデバイスに感染し、どのような情報を窃取するのでしょうか？そして窃取された情報は、どのように皆さんの組織のセキュリティ侵害に悪用されるのでしょうか？今回のブログでは、それらの質問に回答していきます。

どのような人が情報窃取マルウェアに感染しやすいのでしょうか？また、どうやって感染するのでしょうか？

簡潔に回答すると、誰でも情報窃取マルウェアの被害者になる可能性があります。今日のサイバー犯罪者は日和見的に活動しており、金銭を入手するチャンスを常に模索しています。そしてその一方で、ログを売買する環境もこれまで以上に簡単に利用できるようになっています。また攻撃者の中には政治的または個人的な動機で特定の人物や組織を狙う者もいますが、サイバー犯罪者の大半は発見した弱点が何であれ、隙あらば攻撃しようと考えています。そして従来型のセキュリティツールも、もはや防御面で十分な役割を果たしているとは言えません。EDRが適切にインストールされていたにもかかわらず、デバイスが情報窃取マルウェアに感染している事例もあるのです。

アンダーグラウンドでは、月額数百ドルで情報窃取マルウェアを利用できるサブスクリプションサービスも提供されており、いまやサイバー犯罪者は簡単に情報窃取マルウェアを利用できるようになっています。そしてその結果、あらゆる人や組織が情報窃取マルウェアに感染しうる状況になっています。情報窃取マルウェアを配信する際には、ユーザーを悪意あるウェブサイトへリダイレクトするマルバタイジング、検索結果の上位に悪意あるウェブサイトを表示するSEOポイズニング、従業員へのフィッシングメール、不正なコードを組み込んだソフトウェアアップデート、一見無害に見える改造版ソフトウェアやゲームのチートツールなどが頻繁に使用されています。

また攻撃者の中には、侵害したデバイスへのマルウェア配信・インストールを支援してくれるサービスを利用する者もいます。具体例としては、複数の標的にアクセスできる攻撃者が、マルウェアを配信・インストールするためのツールや技術的支援を他の脅威アクターに提供してもらい、その対価として窃取したログを共有したり、代金を支払うなどが挙げられます。

情報窃取マルウェアはどのような情報を収集するのでしょうか？そしてどのように情報を金銭化するのでしょうか？

デバイスが情報窃取マルウェアに感染した場合、次に何が起こるのでしょうか？情報窃取マルウェアは、クレジットカード番号から銀号口座の詳細といった財務データから、電子メールアカウントや様々なオンラインサービス（Salesforce, Jira, Slack, VPNs, Active Directory、その他）のログイン資格情報やパスワードにいたるまで、幅広い情報を窃取することができます。また、個人のデバイスが感染した場合は、社会保障番号をはじめとする個人識別情報や暗号資産ウォレットの詳細情報、システム情報（OSの種類やインストールされているソフトウェア、ハードウェアのスペック、その他）なども窃取される場合があります。そして、Snowflake社で発生したインシデントのように、サードパーティのサービスが情報窃取マルウェアの標的となった場合、事態はさらに深刻になります。攻撃者は情報窃取マルウェアが最初の感染先企業から窃取したデータを利用し、同じ手口で多数の企業を攻撃することができるからです。例えばSnowflake社のインシデントの場合、攻撃者は情報窃取マルウェアを使用して同社のインスタンスで使用されている資格情報を窃取し、その後この資格情報を悪用して同社の顧客企業165社を侵害しました。

情報窃取マルウェアがログを収集した後、攻撃者は収集したログをどのように収益化するかを検討します。ログの買い手となるサイバー犯罪者が実行する攻撃の種類によって、彼らが興味を持つデータの種類も異なるからです。銀行口座から直接金銭を窃取したいと考えるサイバー犯罪者の場合は銀行口座の詳細情報に関心を示し、より高度な攻撃（ランサムウェア攻撃など）を企むサイバー犯罪者であれば、初期アクセスとして悪用できるパスワードやログイン資格情報に関心を示すでしょう。

そして、手っ取り早くログを金銭化しようとするサイバー犯罪者にとって幸いなことに、アンダーグランドには以下をはじめ、ログを簡単に金銭化する方法が多数存在します。

• ボットネットマーケット：ログ（窃取した情報）の種類にもよりますが、1レコードにつきだいたい0.5～50ドルで販売することができます。RussianMarketで販売する場合は、より高額な値段で販売することも可能です。特に、サイバー犯罪者が高いニーズがあると自負しているログやデータを売りに出す場合は、同マーケットが販売に適しているといえるでしょう。2022年9月にはUber社でサイバーインシデントが発生しましたが、同月、Uber社従業員のユーザー名と有効なパスワードがRussianMarketで売り出されていたことが判明しています。ログの情報によると、少なくとも同社従業員2人が情報窃取マルウェア「Racoon」と「Vidar」に感染したデバイスをしており、この時販売されたユーザー名とパスワードが、同社インシデントの発端になった可能性が指摘されています。
• ログのクラウド：ユーザーが一定の月額料金を支払うと、情報窃取マルウェアが感染デバイスから収集した全資格情報にフルアクセスできるようになるサービスです。この類のサービスの多くはTelegram上で提供されています。Netflixの「侵害された資格情報」バージョンとも言い換えることができるでしょう。このアプローチの利点の1つとして、ユーザー（サイバー犯罪者）は、ログを個別に購入するよりも低価格で大量のログを購入できることが挙げられます。
• ULP (url:login:password) ファイル：情報窃取マルウェアが収集した資格情報は、ユーザー名とパスワード、ログイン先のURLをセットにした資格情報リストとして提供される場合もあります。このリストはULPファイルとも呼ばれており、数百万件もの資格情報が含まれていることもあります。そして攻撃者はこのリストを使用することにより、簡単に攻撃を実行することが可能となります。

情報窃取マルウェアの脅威を阻止するうえで、アイデンティティセキュリティが果たす役割とは？

情報窃取マルウェアは水面下で動作するよう設計されているため、実際にアカウント情報を悪用した攻撃が発生して初めて、自組織のアカウントが侵害されていることに気付くという場合もあります。皆さんは、「自分は侵害されていないだろう」と考えているかもしれません。しかし、今日のサイバー犯罪者が最も悪用している侵入経路は有効なアカウント情報であり、アカウント情報を悪用してネットワークに不正アクセスされた事例は今年に入ってすでに前年比で71%増加しています。そしてその影響も深刻です。窃取・侵害されたアカウント情報を悪用した攻撃が発生した場合、その検知と封じ込めにかかる日数は平均292日であり、他の攻撃ベクトルよりも長期化することが報告されています。また、各インシデントの対処費用は約481万米ドルに上るということです。

多要素認証も、常に有効な策となるわけではありません。「Lapsu$」や「Scattered Spider」などの脅威グループは、多要素認証疲労攻撃やソーシャルエンジニアリング、SIMスワップ攻撃により、多要素認証を回避することが知られています。また、クッキーを窃取された場合も、多要素認証が防御策として機能しなくなる場合があります。攻撃者が（被害者の）セッションのクッキーを窃取することに成功した場合、そのクッキーを自らが使用するブラウザ（たいていは検出防止機能のあるブラウザ）に投入するだけでそのユーザーになりすまし、Webサイトやアプリケーションを使用することが可能となります。この手法は、「セッションハイジャック」という名称で知られています。

いずれの攻撃についても、早期検知が重要であることは明らかです。そして、攻撃は突然発生するわけではありません。様々な専門分野を持つ脅威アクターが綿密に計画を練り、協力し、既知のツールや戦術・技術・手順（TTP）、有名な情報窃取マルウェアを使って攻撃を実行しているのです。それら攻撃の多くは、定評のある脅威グループによって行われており、窃取されたログは有名なチャンネルやマーケット、プラットフォームなどで提供されています。皆さんがそのような活動を目にする機会はないかもしれませんが、我々は日々の業務で観察しています。

昨年KELAが検知したアカウント情報や資格情報は20億件超（重複分を除く）

そこで、KELAのIDENTITY GUARDがアカウント情報の侵害を早期検知するセキュリティソリューションとして効果を発揮します。アンダーグラウンドのサイバー犯罪社会を綿密に監視するIDENTITY GUARDは、以下の機能で組織の皆様をサポートします。

• ボットネットマーケットやTelegramチャンネル、その他ダークウェブのソースを監視し、組織のドメインやIP、電子メール、SaaSアプリケーションと関連のある資産やアカウント情報の侵害を検知。
• 感染した端末の隔離、侵害されたアカウントのパスワードリセット、多要素認証の導入徹底などを自動化することにより、攻撃を未然に阻止。
• セキュリティベンダーが提供するテイクダウンサービスなどを活用し、窃取された資格情報をマーケットから削除。
• 脅威アクターの戦術・技術・手順や挙動を解明。また、彼らの今後および将来の攻撃に関する計画や活動、手法を傍受。
• 新たなツールや情報窃取マルウェアの亜種、マルウェア・アズ・ア・サービスをはじめとする情報窃取マルウェアの情勢を可視化。

サイバー犯罪のエコシステムで、自組織の情報が侵害されていないかチェックしたいとお考えの皆様、ぜひKELAの脅威インテリジェンスプラットフォームの無料トライアルにご登録ください。