インフォスティーラーとは、情報を盗み出そうとする悪意のあるマルウェアのことです。バンキング型トロイの木馬(TrickBotなど)やストーカーウェアなど、複雑化したマルウェアには、通常インフォスティーラーコンポーネントが含まれています。
インフォスティーラーはほとんどの場合、情報を窃取することでサイバー犯罪者に利益をもたらします。
一般的に、サイバー犯罪者が金銭に変えることができる情報は以下のとおりです。
- 銀行のカード情報は、直接使用することも他人に売却することもできます。
- アカウントログイン情報は、過去に購入した物(例えば、フォートナイトやどうぶつの森などのゲーム内で購入したアイテム)を盗むために使用したり、それらを再販することができます。
- 銀行のカード情報が保存されていれば、アカウントログイン情報を使って新しいものを購入できます。
- アカウントログイン情報は、次のように販売されます。
- 多くの場合、アカウント情報は金もうけを企てる他のサイバー犯罪スペシャリストに一括で販売されます。
- なかには個々のアカウントで非常に価値の高いものもあります。たとえば、人気のあるハンドルネーム付きのInstagramやSnapchatアカウントがそれに相当します。
- 写真や文書は恐喝に使われたり、他の方法で現金化される可能性があります。
- ランサムウェアの被害を受けた企業は、身代金を支払わなければ内部データや知的財産が公開されてしまう事態に直面するケースが増えています。
- 2014年には、多くの著名な女性が自分のiCloudアカウントから極めてプライベートな写真が流出し、非倫理的な掲示板や成人サイトの所有者に多大な利益をもたらしました。
犯罪者が創造力を駆使することで大規模でプロ化したビジネスが形成されています。
バンキング型トロイの木馬の例
Android向けバンキング型トロイの木馬の例(スクリーンショットをステップごとに表示)
インフォスティーラー攻撃は実に血も涙もありません。
たとえば、2017年に感染拡大したAndroid向けバンキング型トロイの木馬の仕組みを見てみましょう。
ユーザーは、面白い動画付きアプリケーションをダウンロードするリンクが記載されたショートメッセージを受信しました。これをインストールすると、アプリケーションへの権限付与を求められますが、誰も権限の内容を理解せずに権限を付与してしまいます。
アプリケーションには、実際に「面白い動画」が含まれています。
しかし、攻撃者の真の目的はここからです。まずユーザーが銀行アプリを起動するまで待ち続けます。そして、銀行アプリの起動を確認すると、インストール時に与えられた権限を利用して銀行アプリのログイン画面の上、偽物の画面を表示させます。
ユーザーがログイン情報を入力すると、ユーザー名とパスワードが盗まれます。しかし、偽のログイン画面の背後に隠された本物のアプリケーションにもログインされるため、ユーザからはすべてが正常に行われているように見えます。
トロイの木馬はユーザーが銀行とのやりとりを終えるのを待ちます。その後、ユーザーの助けを借りることなく、再びその銀行アプリケーションにログインしてユーザの口座から送金を試みます。
この際、銀行から支払い手続きのためのSMSコードがユーザに送信されます。アプリケーションはインストール時にユーザが与えた別の権限を使用してコードをキャプチャし、ユーザには何が起こったかわからないようにするためにSMSメッセージを削除します。
まさに極悪非道です。
金もうけが目当てとは限らない
インフォスティーラー攻撃の理由は金銭目的が圧倒的に多いのは事実ですが、それだけではありません。
iCloudなど多くの類似ケースのように、われわれの社会で最も弱い立場にある人々(女性、子供、LGBTQIA+、有色人種の人々など)に関する情報が、それらの人々から搾取を企てようとする者、または暴力を振るおうとする者によって標的にされています。
私達はストーカーウェアを販売する恥知らずな「合法的」企業があることを知っています。特に家庭内暴力をふるう人、虐待する親、ストーカーなどに販売することで、購入者はターゲットを監視し、コントロールできるようになります。だからこそ、エフセキュアはストーカーウェア対策における業界団体連合の一員となっているのです。通常、ストーカーウェアは隠蔽されたトロイの木馬であり、ターゲットの写真、通話履歴、チャット履歴、位置履歴などを盗むインフォスティーラー技術の重要な部分を構成しています。
私達はストーカーウェアを販売する恥知らずな「合法的」企業があることを知っています。特に家庭内暴力をふるう人、虐待する親、ストーカーなどに販売することで、購入者はターゲットを監視し、コントロールできるようになります。だからこそ、エフセキュアはストーカーウェア対策における業界団体連合の一員となっているのです。通常、ストーカーウェアは隠蔽されたトロイの木馬であり、ターゲットの写真、通話履歴、チャット履歴、位置履歴などを盗むインフォスティーラー技術の重要な部分を構成しています。
インフォスティーラーは、サイバーいじめの一環としても使用されます。この場合、ターゲットのアカウントへのアクセスを利用して、恥ずかしいコンテンツの投稿、友人の削除、アクセスの削除、または全体的な心理的虐待キャンペーンの一部として使用されています。
インフォスティーラーを使った政府による攻撃は、活動家、ジャーナリスト、野党の政治家に標的を絞り込んで実行されており、これもまた、どのように使われるかを知りながらこのマルウェアを販売する恥知らずな「合法的」企業から支援を受けています。
たとえば、2018年にサウジアラビアのジャーナリストのJamal Khashoggi(ジャマル・カショギ)氏が殺害された有名な事件には、インフォスティーラーの技術が彼の同僚に対して使用され、彼の情報源の1人の殺害に繋がりました。殺人を計画する際に、彼のスケジュールを事前に知るために使用されたと考えられています。
さらに2020年の初めには、世界一の富豪である米アマゾン・ドット・コムの創業者でCEOのJeff Bezos(ジェフ・ベゾス)氏が所有するワシントン・ポスト紙が報じた記事が原因で、同氏に対して同様のソフトウェアが使用されたことが明らかになっています。
インフォスティーラーはどれ程拡散しているか?
エフセキュアの最新レポート「セキュリティ脅威のランドスケープ 2020年上半期」に掲載されたデータによれば、ユーザが直面しているマルウェア脅威のトップ20を席捲しているのはインフォスティーラーです。
インフォスティーラーの要素を含むトロイの木馬やRAT(リモートアクセス型トロイの木馬)も含めると、エフセキュアがユーザを保護する必要があった脅威のトップ20のうち、18がユーザの情報を盗むマルウェアでした。
また、インフォスティーラーは、ユーザが受信するスパムメールも支配しています。新型コロナウイルスをテーマとした添付ファイルの75%がLokibot(38%)または Formbook(37%)のいずれかによってインフォスティーラーを配布しています。
大手銀行になりすました実際のスパムメールの例。Lokibotのインフォスティーラー/トロイの木馬を配布するために使用された。先月、フィンランドでは当社のソフトウェアによって、1万人のユーザのうち131人が、インフォスティーラーまたはトロイの木馬による感染から防止されました。これはすべての脅威の64%に相当します。
先月(2020年9月)、フィンランドにおいてエフセキュアのエンドポイント保護ソフトウェアが検知した脅威トップ10
先月(2020年9月)、フィンランドにおいてエフセキュアのエンドポイント保護ソフトウェアが検知した脅威のタイプ別分類
スウェーデンでは、当社のソフトウェアによって、1万人のユーザのうち149人がインフォスティーラーまたはトロイの木馬による感染を防ぐことができました。これはすべての脅威の47%に相当します。
Top 10 threats detected by F-Secure End-Point Protection software in Sweden in the Last Month (2020-Sep)
月(2020年9月)、スウェーデンにおいてエフセキュアのエンドポイント保護ソフトウェアが検知した脅威のタイプ別分類
インフォスティーラーの手口は?
インフォスティーラーを含むすべてのマルウェアの大半は、スパムメールを介して感染します。
Eメールの添付ファイルを経由するか、Eメール内にリンクされた悪質なWebサイトを経由して感染します。
Webサイトにおける最近のほとんどの感染は、ユーザをだましてサイトからソフトウェアを手動でダウンロードしてインストールするように仕向けることで発生しています。エフセキュアエフセキュアでは、まだ少数ですが「エクスプロイトキット」を使用することで、ユーザの操作を不要にした直接感染のケースを確認しています。
スパムメールで人を騙してソフトウェアをインストールしてクリックさせるのと同様の手口は、SMSやWhatsapp、Facebook Messenger、さらには電話でも見受けられます。
繰り返しになりますが、犯罪者は創造力があり執拗です。キャンペーン全体として収益を上げるには、ほんの数人にクリックさせるだけでよいのです。
ほとんどの場合、特定の標的はなく、何千、何百万人もの人々に餌を送り付け、数人がクリックしてだまされるのを待ちます。
犯罪者(および広告主)には、私たちがよく考えもせず直ちにクリックするように仕向ける一般的な手法がいくつかあります。
これらは、本来目にしたときに一旦立ち止まり、慎重にステップを踏むべきものです。
- 無料:多くの場合、だますのはこの言葉だけで十分です。購入する際は注意してください。
- 驚くほどうまい話:このようなものは危険です。本当に全費用がただになる世界一周旅行に当選したのですか? 本当に手違いで上司の給料一覧表を受け取ってしまったのでしょうか?そんなはずはありません。
- 緊急:「急いで、残りわずか5分」などと急かされたときこそ、ゆっくり慎重に確認するタイミングです。
- インサイダー情報:自分の誕生日、上司の名前、出身学校を知られている。確かに間違いありません。ただし、これらの情報はオンラインで簡単に入手できます。彼らが何者であるかを確認する前に、追加の情報を与えてはいけません。
- 権威:PCで道徳的とは言えないことをしたとして、FBIから「逮捕する」と言われたり、極秘取引のために100万ドルを至急送金するように上司から指示される。このような場合、Eメールやテキスト、その他のアプリケーションを介して他人のふりをするのはとても簡単だということを決して忘れないでください。
これらのすべてのケースでは、行動を起こす前に社内の電話帳や政府/銀行の公式Webサイトで、その人物や組織の実際の電話番号やEメールアドレスを調べ、電話で確認することを考慮してください。
次に、最近の新型コロナウイルス関連スパムで使用されている手口の例をいくつか紹介します。
どうすれば安全を確保できるか?
インフォスティーラーから身を守る主な方法は、デバイスに優れたマルウェア対策ソフトウェアをインストールすることです。マルウェア対策ソフトウェアは、主に3つの方法でユーザを保護します。
最初の方法は、デバイスにインストールまたは実行しようとするインフォスティーラーソフトウェアを直接停止させることです。これは、不正なソフトウェアを直接認識すること(いわゆる「シグネチャ」)と、その挙動を認識すること(いわゆる「次世代」検知)の両方によって、インフォスティーラーを阻止することができます。
2つ目の方法は、これらの感染の多くの原因となっている悪意のあるWebサイトへのアクセスを阻止することです。言い換えれば「ブラウジング保護」です。
3つ目の方法は、銀行やオンラインショッピングに固有のものです。優れたマルウェア対策ソフトウェアは、銀行のWebサイトに接続する際に、それが偽物ではないことを確認するために、追加の保護機能を有効にし、他のアプリケーションやブラウザのタブが接続を妨害しないようにします。
もちろん、100%の保護を提供するものは存在しません。また、アカウント情報などに対するすべての攻撃がマルウェアによるものとは限りません。
このため、ほとんどの人がセキュリティを向上させるためにできる最善の方法の一つは、パスワードマネージャを使用することです。
パスワードマネージャを使用すると、1つのサービスのデータが漏洩しても心配する必要はありません。そのパスワードを解読するのは困難であり、万一解読された場合でも、犯罪者が1つのアカウントにしかアクセスできず、すべてのアカウントにアクセスできるわけではないからです。
それだけでなく、パスワードマネージャは、すべてのデバイスで簡単に自動入力でき、「パスワードを忘れた場合」をクリックする必要がなくなるため、おそらく今日のパスワード管理方法においては何よりも簡単です。
冷静に、パスワードマネージャを使おう ノートPCスティッカー
必要に応じて、マルチデバイスのマルウェア対策ソリューションとパスワードマネージャをこちらから入手してください。さらに、このバンドルされたソフトウェアには、当社のID保護ソリューションも含まれており、ダーク/深層ウェブスキャナを搭載し、ヒューマンインテリジェンスチームがオンラインでのデータ漏洩を発見した場合に警告を発します。また、受賞歴のあるVPNソリューションも含まれています。
パスワードマネージャを使用して、オンラインでデータ侵害が検知されたときに通知されるようにした場合、次のステップは、可能な限り多くのアカウントで2要素認証(2FA)または多要素認証(MFA)を有効にすることです。
MFAは、たとえパスワードが盗まれたとしても、攻撃者が情報にアクセスするためには、パスワードに加えてトークンを取得する必要があるので、保護の強化に役立ちます。
前述ののAndroid向けバンキング型トロイの木馬を覚えていますか?攻撃者は標的のSMSを見る許可を求めていました。
MFAを有効にするときは、電話番号のSMSを使う代わりに、可能であれば、携帯電話のワンタイムパスワード(OTP)アプリケーション(例:FreeOTP)か、Yubikeyのような物理的なOTPジェネレータを使ってMFAを設定してください。
OTPアプリケーションや物理キーは、いわゆる「SIMスワップ」攻撃ができないため、個人的に狙われるようなケースではSMSよりもさらに安全です。これらのオプションを使用できない場合は、アカウントでSMSベースのMFAを有効にしてください。
どのMFAもMFAよりも優れています。
最終防衛ラインは自分自身
もちろん、ミスや不可抗力にかかわらず、パスワードとトークンを攻撃者に渡せば、これらの保護機能はすべて迂回されてしまう可能性が有ります。
ミスは、特に忙しかったり、疲れていたり、ストレスを感じているときに起こるものです。それでも、他人にMFAトークンを与える正当な理由は絶対にないことを覚えておいてください。そうすれば疲れているときに、そのことを思い出せば、立ち止まってゆっくり考えることでミスを減らせるでしょう。
アカウント情報などへのアクセスを強要されている状況であれば、支援サイトが利用できます。例としてOperation Safe EscapeやLe Refugeなどがあります。これが該当する場合は、安全な公共の図書館などを利用して、加害者が知らない時間帯、場所、デバイスでのみ、これらのリソースにアクセスするように注意してください。
同意することなく盗まれた情報で脅迫されたり、嫌がらせを受けたりしている場合は、Cyber Civil Rights Initiativeのような組織や、C.A.Goldbergのような被害者の権利を専門とする法律事務所が加害者から支配権を取り戻す手助けをしてくれます。
国家が支援するインフォスティーラーに狙われていると感じている活動家やジャーナリストに対しては、Citizen Labのような組織が、支援の手を差し伸べたり、地元の信頼できる専門家を紹介してくれます。
