コンテンツを開く

テーマのトレンド

今日では、多種多様なマルウェアが存在するため、そのひとつひとつに対処することは容易なことではありません。すべてを知ることが難しいだけでなく、セキュリティソフトが正しく機能している限り、マルウェアへの関心も薄れがちです。実際、日々多くのマルウェアが開発され、進化していますが、そのほとんどは、世界的な脅威になったりニュースの見出しになったりすることはありません。

しかし、残念なことにある種のマルウェアは、与える被害の大きさなどの要因で、世の中の関心を引き不安を高めています。

特に有名なものは、TrickBot(トリックボット)と呼ばれているマルウェアです。バンキング型トロイの木馬(銀行の口座情報を窃取し、不正送金を行うトロイの木馬)として2016年に確認されて以来、搾取された認証情報を悪用した不正アクセスや不正送金といった事象が頻発しています。

ここでは、TrickBotが着目されている4つの理由を解説します。

1. 複合的な利用

インターネットバンキングのログイン情報が盗まれるだけでも脅威ですが、TrickBotは、Eメールアカウント、システムやネットワーク情報、課税情報(英語)などの重要度の高い情報をも搾取します。 通常は、不正なスパムメールや広告に記載されたリダイレクトURLを用いて被害が拡大されます。これまでに、少なくとも2億5,000万件ものEメールアカウント(英語)が侵害されていると考えられています。 また、TrickBotは、システムにバックドアをインストールして、リモートでアクセスし、ボットネットの一部として使用することもできます。

TrickBotは主に企業ネットワークへの脅威として存在していますが、一般のユーザーを標的にすることもあり、この傾向は今後も継続されるものと思われます。企業をターゲットとした場合、TrickBotの情報搾取能力は特に危険であり、攻撃者へ大きな利益をもたらしています。

2. 他のマルウェアとの連携

TrickBotはトロイの木馬であるため、電子メールに添付されているPDFドキュメントのように一見無害なプログラムやデータであるように見せかけています。多くの場合、クリックされた添付ドキュメントが編集可能になると、スクリプトがPowerShellを利用してマルウェアをダウンロードします。

たとえば、TrickBotは感染後Ryuk(リューク)ランサムウェアをダウンロードすることがよくあります。TrickBotはネットワークをスキャンして、ランサムウェア攻撃の標的を特定し、必要な情報が十分な台数のコンピュータから収集された後に、ランサムウェアがアクティブ化されます。

また、TrickBotは、Emotet(エモテット)と呼ばれる別のマルウェアとも頻繁に連携しています。コンピュータに感染する際、お互いをダウンロードするため、被害が増加し、Ryukを含めた両方のマルウェアがさらに拡散します。

3. モジュール型マルウェア

これまで述べてきた、TrickBotができることと、他のマルウェアと連携してできることに注目ください。これは、TrickBotがモジュール型マルウェアだからこそ可能なことです。すべてのTrickBotによる感染が同じ形というわけではありません。攻撃者が使用するバージョンに応じて、さまざまな種類の機能を加えることができます。これらのバージョンは、自身をもアップデートし、他の機能をダウンロードすることもできます。

これが、サイバー犯罪者の間で、TrickBotが非常に人気を博している理由の1つとなっています。彼らはそれをカスタマイズして、さらに開発を加え、より効果的で収益性の高いものに変えることができます。TrickBotはすでに進化して、オリジナルの形式から変貌を遂げていますが、今後も変化していく可能性が高いでしょう。今日の姿も明日は違うのです。

4. TrickBotは居座り続ける

残念ながら、TrickBotは、今後も多くの機能と能力が開発されると推察されるため、サイバー犯罪者にとって引き続き人気のあるツールであり続けるに違いありません。

エフセキュアのリサーチャーであるBert Steppé(バート・ステッペ)は、次のように述べています。「TrickBotの将来の姿は、Malware-as-a-Service(サービスとしてのマルウェア)です。すなわち、他の脅威アクターに対してある種のフレームワークをサービスとして提供することで、被害者のシステムにアクセスしたり、他の脅威アクターから他のモジュールをインストールできるようにします」

これは、TrickBotが新機能を加えていくだけでなく、進化し続ける脅威が将来さらに多くのマルウェアをもたらす可能性が高いことを意味しています。TrickBotに感染したデバイスのネットワークへのアクセス機能は、他のサイバー犯罪者に販売またはレンタルされ、別の目的に悪用されていくのです。

 

F-Secure Japan

09.03.20 3 min. read

カテゴリ

コメントを残す

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。