「Info Stealer」を知っていますか?
セキュリティ
「トロイの木馬」「スパイウェア」「ランサムウェア」― 世の中には様々なマルウェアが存在しています。本ブログでは、その中でも一般的には知名度が低い「Info Stealer」について紹介します。
Info Stealer
ハッキングに関する情報交換が行われる「ハッカーフォーラム」では、多数の「Info Stealer」が商品として出品されていて、お金を払えば誰でも利用することができます。下図は人気のある「Info Stealer」の1つである「LummaC2 Stealer」の販売を謳う投稿です。高機能かつ安価に利用できることから人気を博しており、国内外での感染被害も急拡大しています。
「Info Stealer」によって持ち出された情報は「ハッカーフォーラム」や「非合法な商品を扱うマーケットプレイス」に商品として出品されることがあります。下図は「LummaC2Stealer」に感染した日本の端末から盗み出した認証情報を販売しているサイトですが、このサイトだけでも18,000台以上のPCやサーバーから盗み出された認証情報が出品されています。クラウドサービスや内部システムの認証情報も含まれており、4ドル~10ドル程度で購入することができます。これらの情報が別のサイバー犯罪者の手に渡ることで、リモートアクセスの認証情報が不正利用されて内部ネットワークへ侵入されたり、クラウドサービスに対して不正にアクセスされる状況が作り出されるのです。
「Info Stealer」が人気を博しているのは「機密情報」という収益化しやすいデータを容易に取得できる機能実装が挙げられます。また、利用するにあたってアンチウイルスなどのセキュリティの監視をすり抜ける能力が非常に高いことが挙げられます。例えば「LummaC2 Stealer」と並んで人気のある「Meduza Stealer」は定期的にモジュールがアンチウイルスに検出されないことを利用者や購入検討者に証明しています。
主要なアンチウイルス製品で検知できるものがないことを証明するデータ
我々が普段目にするメディアではランサムウェアの様な派手な脅威について報じられることが多いですが、実は気付かないところで多くのPCやサーバーが「Info Stealer」の被害に遭っているのです。情報漏洩は暗号化の被害と違って個人や法人が生涯に渡って個人情報や機密情報を悪用されるリスクに晒されることになります。「Info Stealer」は近年、非常に活発化しているマルウェアの1つであり、多くの犯行グループが悪用し
ています。特別な対策が必要なものではありませんが、適切な予防策を講じてください。
「Info Stealer」に対するAppGuardの有効性検証
「AppGuard」は「アンチウイルス」や「EDR」とは全く異なるアプローチを採用したエンドポイントセキュリティ
対策です。「AppGuard」は攻撃成立に不可欠な「特定の事象」を命令レベルで検知し、ルールに基づいて
適切な制御をすることで、脅威に依存することなく攻撃の成立を阻止することができます。「Info Stealer」に
対しても攻撃ベクトルの複数箇所に攻撃を断ち切る制御ポイントを持ち、PCやサーバーを保護します。
注意:有効性検証は「AppGuard Enterprise v6.7」の初期ポリシーを基に行っています。
株式会社Blue Planet-works|セキュリティアドバイザー 鴫原祐輔
