サイバーセキュリティ 
ワンクリック詐欺から身を守るためには、どんなに不安を
トロイの木馬型であるダウンローダーは、セキュリティ対策ソフトにも検知されにくく、ユーザーが気づかないうちに端末に侵入し、バックグラウンドで他の悪意のある更なるマルウェアをダウンロードし、被害を拡大させるためとても危険です。
最悪のケースでは、ランサムウェア被害や情報漏洩にも繋がり、組織が大きな被害を被る事例もあります。
そこで、このブログでは、トロイの木馬型であるダウンローダーがどのような仕組みなのか、詳しい危険性、種類、未然に防ぐ方法をご紹介します。
KeeperPAM(特権アクセスマネージャー)で企業内の
セキュリティを可視化し、企業の安全を支えます!
ダウンローダー型マルウェアとは?
ダウンローダー型マルウェアは、Trojan-Downloaderやトロイの木馬型であるダウンローダーとも呼ばれ、自身は比較的小さく単純なプログラムでありながら、他のより複雑なマルウェアを端末に導入するためのツールです。
この種のマルウェアは、セキュリティ対策ソフトにも検知されにくく、ユーザーが気づかないうちに端末に侵入し、バックグラウンドで他の悪意のあるソフトウェアをダウンロードし、インストールします。
このダウンローダーより、最終的に個人情報の窃取やシステムの制御、ランサムウェア攻撃の引き金となることがあります。
トロイの木馬型であるダウンローダーの仕組みとは?
トロイの木馬型ダウンローダー(Trojan-Downloader)の仕組みは、感染した端末に他の悪意のあるプログラムをダウンロードさせることを目的として動作します。まず、感染経路としては、フィッシングメールに含まれる悪意のあるリンク、添付ファイル、悪意のある広告、偽のソフトウェアアップデートなどを通じて端末に侵入します。
例としては、添付された一見、普通に見えるWordやExcelファイルに埋め込まれたマクロを実行することでマルウェアに気づかないうちに感染が始まるケースが一般的です。ユーザーがファイルを開いた際に「マクロを有効化」するよう促され、それに従うことでマルウェアがバックグラウンドで実行されます。
感染後、トロイの木馬型であるダウンローダーにもあらゆる種類がありますが通常、正規のプログラムや偽装されたアプリケーションとして端末に存在します。この巧妙な偽装により、ユーザーが気づかずにマルウェアを実行してしまうことが多いです。さらに、ウイルス対策ソフトウェアの検出を回避するために、このダウンローダーは高度なステルス機能を持つことがよくあります。
ダウンローダーが実行されると、その主な目的として他のマルウェアであるランサムウェアやスパイウェア、キーロガーなどを感染した端末にダウンロードします。これにより、初期の感染がさらに拡大し、深刻なセキュリティリスクを引き起こし、大きな被害をもたらす可能性があります。
ダウンローダーの危険性とは?
ここではダウンローダー型マルウェアであるトロイの木馬型ダウンローダーの危険性をご紹介します。
ウイルス対策ソフトの回避機能
ダウンローダー型マルウェアは、高度な技術を用いてウイルス対策ソフトの検知を回避することがあります。特にトロイの木馬型であるダウンローダーのようなダウンローダーは、ウイルス対策ソフトウェアを使用していても侵入を防ぎきれないケースが存在します。
例えば、ダウンローダーはコードを暗号化したり、ポリモーフィズム(自動的にプログラムコードを変化させる技術)を使用したりすることで検出されにくくなります。この回避機能により、ユーザーは感染の早期発見が難しくなり、被害が拡大する可能性があります。
感染拡大の連鎖
ダウンローダーは単独で動作するだけでなく、ネットワークを通じて他の端末にも感染を広げることがあります。これにより、個々のデバイスだけでなく企業全体や家庭内の複数の端末が被害を受けることがあり、結果としてネットワーク全体がセキュリティリスクにさらされます。
たとえば、1台のPCが感染すると、組織内の共有フォルダやネットワーク内の他のデバイスにも感染が広がり、最終的にはランサムウェアがシステム全体に拡散する可能性があります。これにより、業務停止や大規模な情報漏洩、データの暗号化が発生することがあります。企業のネットワーク全体がランサムウェアに感染すると、重要なファイルがロックされ、復旧までの長期間にわたる影響を受けることもあります。
バックドアの作成
ダウンローダーは他のマルウェアをインストールする際、端末にバックドアを設置することがあります。バックドアとは、攻撃者が端末に遠隔からアクセスできる隠れた経路のことです。このバックドアによって、攻撃者は後に端末へ再度侵入し、さらなるマルウェアのインストールやデータの窃取を行うことが可能です。バックドアが存在することで、マルウェアが一度除去されたように見えても、再度感染が繰り返されるリスクがあります。
ファイルレスマルウェアとの連携
ダウンローダー型マルウェアはファイルレスマルウェアと連携することもあります。ファイルレスマルウェアは、端末にファイルとして保存されず、システムのメモリ内で動作するため、従来のウイルス対策ソフトでは検出が難しいのが特徴です。ダウンローダーはこれを実行するための起点となり、短期間で大きな被害をもたらすことがあります。
システムの不安定化とパフォーマンス低下
ダウンローダー型マルウェアがインストールされると、端末の動作が不安定になることがあります。リソースを大量に消費し、システムの処理能力を低下させることで、日常的な使用にも支障が出ることがあります。ユーザーがアプリケーションを開く際の遅延や、システムのフリーズといった現象が見られ、最悪の場合、端末が起動しなくなることもあります。
ダウンローダーの仕組みと危険性を解説
ダウンローダーの種類
ここでは、近年猛威を振るうダウンローダー型マルウェアの種類を一部ご紹介します。
Emotet
Emotetは、もともとは銀行情報を狙うトロイの木馬として知られていましたが、現在ではダウンローダー型マルウェアとしても広く使用されています。
Emotetは、主にフィッシングメールに添付されたWordやExcelファイルなどの悪質なドキュメントから感染を広げます。感染後、Emotetは他のマルウェアであるランサムウェアやキーロガーをダウンロードして、ターゲットのデバイスにインストールします。
Emotetの特徴は、非常に迅速に拡散する点で、感染が広がるスピードが早いため、大規模なネットワーク感染を引き起こすことがあります。
Downloader.Agent
Downloader.Agentは、主に不正な広告や偽のソフトウェアアップデートを介して拡散するダウンローダー型マルウェアです。2020年以降、Emotetと同様に猛威を振るう、ダウンロード型のマルウェアで、このマルウェアは感染した端末に他の悪意のあるプログラム、例えばランサムウェアやスパイウェアをダウンロードします。Downloader.Agentは、ウイルス対策ソフトによる検出を回避するため、巧妙に正規のプログラムに偽装されることが多く、ユーザーが気づかないうちに感染が広がります。
TrickBot(トリックボット)
TrickBotはもともとオンラインバンキングをターゲットにしたマルウェアとして登場しましたが、現在ではダウンローダー型としても広く認識されています。TrickBotは感染した端末を通じて、ランサムウェア、特にRyukランサムウェアや他のマルウェアをダウンロードします。TrickBotは主にフィッシングメールや悪意のあるリンクを介して感染し、ネットワーク内で拡散するため、企業や団体にとって大きな脅威となります。
Dridex
Dridexは、2014年に初めて検出され始め、主に銀行情報を盗むことを目的としていたトロイの木馬型マルウェアです。
現在でも進化しており、ExcelのXLMマクロ機能を悪用し、ダウンローダーとしても使用され、感染後に他のマルウェアをダウンロードして拡散します。
ダウンローダー型マルウェアの被害を防ぐ方法とは
ここでは、ダウンローダー型マルウェアの被害を防ぐ方法をご紹介します。
フィッシングメールや不審なリンクを避ける
ダウンローダー型マルウェアを防ぐための基本的な対策は、フィッシングメールや不審なリンクを開かないことです。またはそのリンクが安全なものか、カーソルを合わせ、URLをコピー&ペーストし、Google透明性レポートで調べることも可能です。
受信したメールが信頼できる送信元からのものであるかを確認し、疑わしい添付ファイルやリンクにはアクセスしないよう注意することが重要です。
特にマクロの有効化を求めるWordやExcelファイルには警戒し、必要のない場合はマクロを有効化しないようにします。McirosoftのWordやExcelなどの初期設定では、マクロをオフにするように設定されていますが、確認することを推奨します。
もし怪しいメールを受け取ったら、フィッシングメールかどうか以下のような点を確認しましょう。
- メールの送信元を確認する
- 緊急性を強調する文章
- 予期しない添付ファイルやリンクが含まれている場合は開かない
- メールの文脈や表現に違和感がある場合は何度も確認する
詳しくは、弊社の「フィッシングメールの見分け方」のブログでご覧いただけます。
マクロ機能を無効化にしているか確認する
マクロ機能の無効化は、ダウンローダー型マルウェアの感染を防ぐための有効な対策です。
特にWordやExcelなどのオフィスアプリケーションは、マクロと呼ばれる自動化されたスクリプトを使用して作業を効率化する機能を持っていますが、攻撃者はこの機能を悪用してマルウェアを拡散させることがあります。悪意のあるマクロは、ユーザーが意図せずに有効化してしまうことでシステム内で実行され、マルウェアのダウンロードと実行が行われる可能性があります。
このようなリスクを回避するため、オフィスアプリケーションの設定でマクロを無効化しておくことが重要です。初期設定では多くのソフトウェアでマクロが無効になっていることが一般的ですが、念のため設定を再確認し、必要のない場合はマクロは使用しないようにしましょう。
ウイルス対策ソフトウェアの利用と更新
ウイルス対策ソフトウェアは、ダウンローダー型マルウェアを含むあらゆる種類のマルウェアからシステムを保護するための基本的かつ効果的なツールです。ウイルス対策ソフトは、既知のマルウェアのシグネチャ(特徴的なパターン)を基にして悪意あるファイルやプログラムを検出し、隔離または削除することができます。
しかし、新しい脅威は絶えず出現しており、ウイルス対策ソフトも定期的な更新を必要とします。最新のマルウェアのシグネチャや挙動を認識し、適切に対応するためには、ソフトウェアのデータベースを常に最新の状態に保つことが重要です。また、ウイルス対策ソフトはリアルタイム保護機能を備えており、システム上でのファイル操作を監視し、悪意のある活動を即座に検出して対処することが可能です。
強力なパスワードに素早く変更できるようにしておく
迅速にすべてのローカルおよびドメイン管理者のパスワードを変更できるようにすることは、ダウンローダー型マルウェアの感染拡大を防ぐために非常に重要です。マルウェアがネットワークに侵入し管理者権限を取得すると、被害は急速に広がり、他の端末への感染が進む可能性があります。マルウェアの感染が組織内で、発見された場合には迅速にパスワードを変更できる体制を整えておくことが必要です。
具体的には、パスワードマネージャーを導入して、組織内のセキュリティポリシーに基づいたパスワードの自動更新を実施できるようにすることが効果的です。これにより、人的なエラーを減らしつつ、迅速な対応が可能となります。また、強力でユニークなパスワードを使用することで、マルウェアによる侵害リスクを下げることができます。
IBMのレポートによると、情報漏洩の被害に遭うとそのコストが世界平均で488万ドルで、日本円にすると約7億円以上にも及ぶと発表されています。
そのため、ローカルおよびドメイン管理者などの重要なアカウントのパスワードを素早く変更できる体制を整えておくことが重要になります。
多要素認証(MFA)を有効にする
多要素認証(MFA)の導入は、Emotetなどのマルウェア攻撃に対する重要な防御策の一つです。二要素認証は、ユーザー名とパスワードだけでなく、もう一つの認証手段を加えることでセキュリティを強化します。この追加の認証手段には、SMSやメールによって送られる一時的なコード、認証アプリによって生成されるコード、または物理的なセキュリティキーが含まれます。Emotetを含む多くのマルウェアは、盗まれた認証情報を使用してシステムに侵入しますが、2FAが導入されている場合、攻撃者がユーザー名とパスワードを手に入れたとしても、追加の認証手段がなければアクセスは困難になります。これにより、不正アクセスのリスクが大幅に低減されます。
組織の攻撃対象領域を減少させておく
攻撃対象領域とは、サイバー犯罪者がシステムにアクセスしてデータを盗むことが可能なすべてのポイントを指します。 ダウンローダー型マルウェアから組織での被害が拡大し、犠牲にならないように、組織の攻撃対象領域をできる限り減らすことが重要です。
例えば、PAMソリューションを導入し、ユーザーに最低限の権限しか与えないようにすることで、組織の攻撃対象領域を減らすことができます。万が一侵害が発生した場合でも、サイバー犯罪者が組織を水平方向に移動することが難しくなります。
PAM ソリューションにはパスワード管理も含まれているため、パスワードのセキュリティ全体を強化することで、組織の攻撃対象領域を大幅に減らすことができます。
従業員のサイバーセキュリティ教育
従業員のサイバーセキュリティ教育は、マルウェア感染のリスクを大幅に減少させることができます。このトレーニングには、プリテキスティングの見分け方、ソーシャルエンジニアリングの見分け方、フィッシング詐欺の一般的な特徴や、不審なメールやリンクを安全に扱う方法について教育します。たとえば、正式に見えるが疑わしいメールの送信元を確認する方法、添付ファイルを開く前に確認すべきポイント、信頼できるソースからのみダウンロードを行うべき理由などが含まれます。
教育プログラムには、実際のフィッシング詐欺の例を示し、従業員が実際にこれらの試みをどのように識別できるかを学ぶ実践的な演習も組み込まれていると効果的です。
まとめ:ダウンローダー型マルウェアの被害を未然に防ぐ準備はできていますか?
ダウンローダー型マルウェアのリスクを防ぐためには、予防策を徹底し、迅速に対応できる体制を整えておくことが必要です。上記でもご紹介したように、フィッシングメールへの注意やマクロ機能の無効化、ウイルス対策ソフトの最新状態の維持、強力なパスワードの使用、多要素認証の有効化、攻撃対象領域の減少、そして従業員の教育が、これらのリスクを効果的に減らす鍵となります。
加えて、KeeperPAMのようなPAMソリューションを導入することで、組織内で管理者権限を持つアカウントや特権アクセスの管理を強化し、不正なアクセスやマルウェアによる権限の悪用を未然に防ぐ対策になります。
多角的に組織のセキュリティを見直して、強化して、ダウンローダー型マルウェアから組織を保護しましょう。
あなたの組織にあったソリューションをまず知るために、KeeperPAMがどのように役立つのかデモをご予約ください。担当のものがご説明いたします。
