静かなる脅威「インフォスティーラー」 ランサムウェア以上に厄介なID窃取の正体：「サブスク感覚」で攻撃

近年、ランサムウェア以上に深刻な脅威となっているのが、IDやパスワードをひそかに盗み出す「インフォスティーラー」だ。情シスが今すぐ講じるべき、組織の存続を揺るがすデータ流出を防ぐための具体策を解説する。

[Karen Kent，TechTarget]

　インフォスティーラー（情報窃取型マルウェア）は、その名の通り、ユーザーのデバイスからパスワードや財務情報などの機密情報をひそかに盗み出す。盗んだ情報は、攻撃者が指定した場所へと転送される。

　インフォスティーラーの被害は近年、急速に拡大している。攻撃者が入手した機密情報を売買・交換するダークウェブ市場の基盤となっているからだ。身代金を要求するために目立つ活動をするランサムウェアとは異なり、インフォスティーラーは沈黙のうちに窃取を実行する。

　CISO（最高情報セキュリティ責任者）やセキュリティリーダーに向けて、インフォスティーラーの仕組みと、その予防および検知のための推奨事項を解説する。

インフォスティーラーの仕組み

「サイバー犯罪」に関連する編集部お薦め記事

　インフォスティーラーは通常、ボットネットのアーキテクチャを採用している。マルウェア・アズ・ア・サービス（MaaS）モデルの下で、攻撃者はインフォスティーラーをレンタルまたは購読する。自分好みにカスタマイズした後、ターゲットとなるデバイスに攻撃を仕掛ける。攻撃手法はフィッシングや悪意のあるリンク、ソーシャルエンジニアリング、ドライブバイダウンロードなど多岐にわたる。

　攻撃に成功するとデバイスが感染し、それ自体が「ボット」となる。これにより、攻撃者はコマンド＆コントロール（C2）機能を獲得する。インフォスティーラーの中には、データの窃取だけでなく、追加のマルウェアをインストールするものもある。

　攻撃者が主に狙うのは、ユーザー名、パスワード、暗号キーなどの認証情報だ。暗号資産のウォレットや銀行口座、その他の財務データを狙うこともある。その他、以下のような情報も標的になりやすい。

• 機密情報を含む文書、スプレッドシート、その他のファイル
• ブラウザの履歴、Cookie、保存されたパスワードやクレジットカード番号などのオートフィル（自動入力）の値
• 将来の攻撃を計画するための手掛かりとなる、デバイス、OS、アプリケーションについての技術情報

攻撃への対応

　インフォスティーラー自体は新しいものではない。マルウェアによるデータ窃取は何十年も前から存在し、フィッシングなどの感染手法も使い古されたものだ。新しいのは、スキルにかかわらず、誰でもインフォスティーラーを大規模に利用できるようになった点だ。その結果、企業が直面する攻撃の回数は今後さらに増加するだろう。

　企業のインシデント対応計画（IRP）などには、既にインフォスティーラー攻撃への対策が含まれているはずだ。しかし、管理者アカウントへのアクセスや機密情報の復号・窃取といった影響の大きさを考えると、いま一度インフォスティーラーを念頭に置いて計画を見直す価値がある。

　例えば、多数のデバイスが同時に影響を受ける大規模な攻撃にどう対応するかを調査すべきだ。インフォスティーラー攻撃の重要性を反映し、必要に応じてプロセスや優先順位を調整する。また、インシデント対応のテストや演習には、必ずインフォスティーラーのシナリオを組み込んでおくべきだ。

インフォスティーラーの検知と予防

　インフォスティーラーの検知と予防には、運用を保護するために設計されたツールを駆使する必要がある。具体的には以下の通りだ。

• ユーザーに、サイバーハイジーン（衛生管理）や許容される利用規定などのセキュリティ基礎教育を実施する
• エンドポイントやネットワーク機器で、アンチマルウェア、アンチフィッシング、アンチスパム技術を利用し、インストールを未然に防ぐ
• 全エンドポイントにパッチを適用し、適切に設定して要塞化することで脆弱（ぜいじゃく）性を最小限に抑える
• 全エンドポイント、メールサーバ、ネットワークを継続的に監視し、インフォスティーラーの存在やC2通信がないかを確認する
• 最小権限の原則を徹底する
• 実行可能なアプリケーションを制限する許可リスト／拒否リストを使用する
• ログを常時監視し、インフォスティーラーのインストールや使用の兆候を特定する
• 認証にはパスワードだけでなく、多要素認証（MFA）などのより強力な要素を要求する
• 保存されている機密情報を暗号化し、アクセスを困難にする
• パスワードや財務情報へのアクセスを容易にしてしまうため、ブラウザのオートフィル機能の使用禁止を検討する