進化する情報窃取マルウェア

　サイバー攻撃の「サービス化」はいまに始まったことではない。むしろ現在のマルウェアや攻撃の多くは、アンダーグラウンドのSaaSサービスとして何らかのクラウドサービスによって提供されているといってよい。

　典型例はランサムウェアである。攻撃者（実行犯）の多くは、RaaS（Ransomware as a Service）インフラを利用する「アフィリエイター」だ。攻撃ツールのサービス化、サブスクリプション化も進んでいる。直近のニュース、リリースから2つの特徴的な事例を紹介する。

　最初に紹介するのは、CYFIRMAが6月に発表した「MysticStealer」だ。MysitcStealerは、アンダーグラウンドでリリースされたばかりの新しい情報窃取マルウェア（Infor-Stealer）の一種である。国内外で複数のセキュリティ媒体が記事化しているが、すでに50ものC2サーバが確認され、本格的な攻撃が始まるのではないかと関連機関やアナリストが注視している。


　サーバ側のマルウェアはPythonで書かれ、クライアント側はC言語で書かれている。OSに近いシステムコールを活用しメモリ上で実行され、ハードディスク（ストレージ）に痕跡が残りにくい。データベースに登録された不正パターンによる検知（シグネチャ系の検知）は難しく、ルールベース検知でも簡単ではない。CYFIRMAがC2サーバのIPアドレスを公開しているので、これが1つの足掛かりになるだろう。

　MysticStealerは、Windows OSをターゲットとする。対象はWindows XPからWindows 11までと、ほぼすべてのWindowsシステムに有効とされる。MysticStealerが狙うのは主に個人情報（機微情報を含む）、アカウント情報、クレデンシャル情報、暗号通過関連の情報。古いOSが対象になるということは、制御系や重要インフラシステム、組み込み系システムにも応用可能と考えられる。

　金融系の犯罪者だけでなく、APTなど高度な攻撃の足掛かり、拠点づくりに利用されるかもしれない。CYFIRMAのレポートでは「MysticStealerはCIS（独立国家共同体：ベラルーシやジョージアなど。ウクライナはロシアクリミア併合以降、脱退）では機能しないようになっている」とも分析している。

多機能で使いやすく、しかも安い

　MysticStealerが注目されるのは、いくつか理由がある。1つは発見されたのが2023年の4月と比較的新しいマルウェアにもかかわらず、すでに2回のバージョンアップが行われていること。その理由が、ユーザー（犯罪者）からの要望だという。アンダーグラウンドでは注目度が高いマルウェアであることがうかがえる。さらに、フィードバックによるバージョンアップには、フォーラムのベテランハッカーの助言による改良も含まれている。これが、界隈に対してMysticStealerのエンドースメントになっているようだ。

　CYFIRMAのレポートや関連記事によれば、非常に多機能なInfo-Stealerであることがわかる。Chromium、Mozillaといったブラウザベースに対応しており、およそ市場に存在するブラウザすべてに対応する。アカウント情報やクッキー、仮想通過のウォレット情報などが入手できるという。レポートでは、MysticStelaerの管理画面なども確認できる。リサーチャーやアナリストがこのマルウェアの機能などを評価・分析したところ、「非常に洗練されたUIで使いやすい」という声まで上がっている。

　注目されるもう1つの要素は、MysticStealerが月額のサブスクリプション方式で提供されるクラウドサービスである点だ。月額150ドルで、3カ月のライセンスなら390ドルのディスカウントプランもある。機能の割には安すぎるのでは？ という専門家の意見もあるが、プロバイダの戦略価格ならば、ありえない設定でもない。 【次ページ】DXや技術革新が進むダークウェブの世界