• 会員限定
  • 2023/07/12 掲載

ランサムウェアの実行犯は「アフィリエイター」だらけ、DXが進むダークウェブの世界

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
いいね!でマイページに保存して見返すことができます。
ランサムウェアをはじめとするサイバー攻撃ツールは、いまやクラウドサービスで提供されるのが当たり前だ。IPAが公開した「情報セキュリティ10大脅威」でも、新たに「犯罪のビジネス化(アンダーグラウンドサービス)」がランクインした。こうした攻撃プラットフォームを提供するサービスは日々進化している。その最前線では何が起こっているのか? 具体的なツールなども含めて解説する。
photo
サービス化が進むサイバー攻撃との攻防、その最前線
(Photo/Shutterstock.com)

進化する情報窃取マルウェア

 サイバー攻撃の「サービス化」はいまに始まったことではない。むしろ現在のマルウェアや攻撃の多くは、アンダーグラウンドのSaaSサービスとして何らかのクラウドサービスによって提供されているといってよい。

 典型例はランサムウェアである。攻撃者(実行犯)の多くは、RaaS(Ransomware as a Service)インフラを利用する「アフィリエイター」だ。攻撃ツールのサービス化、サブスクリプション化も進んでいる。直近のニュース、リリースから2つの特徴的な事例を紹介する。

 最初に紹介するのは、CYFIRMAが6月に発表した「MysticStealer」だ。MysitcStealerは、アンダーグラウンドでリリースされたばかりの新しい情報窃取マルウェア(Infor-Stealer)の一種である。国内外で複数のセキュリティ媒体が記事化しているが、すでに50ものC2サーバが確認され、本格的な攻撃が始まるのではないかと関連機関やアナリストが注視している。

画像
外部脅威情勢管理プラットフォームを提供するCYFIRMAが発表した「MysticStealer」の脅威とは?

 サーバ側のマルウェアはPythonで書かれ、クライアント側はC言語で書かれている。OSに近いシステムコールを活用しメモリ上で実行され、ハードディスク(ストレージ)に痕跡が残りにくい。データベースに登録された不正パターンによる検知(シグネチャ系の検知)は難しく、ルールベース検知でも簡単ではない。CYFIRMAがC2サーバのIPアドレスを公開しているので、これが1つの足掛かりになるだろう。

 MysticStealerは、Windows OSをターゲットとする。対象はWindows XPからWindows 11までと、ほぼすべてのWindowsシステムに有効とされる。MysticStealerが狙うのは主に個人情報(機微情報を含む)、アカウント情報、クレデンシャル情報、暗号通過関連の情報。古いOSが対象になるということは、制御系や重要インフラシステム、組み込み系システムにも応用可能と考えられる。

 金融系の犯罪者だけでなく、APTなど高度な攻撃の足掛かり、拠点づくりに利用されるかもしれない。CYFIRMAのレポートでは「MysticStealerはCIS(独立国家共同体:ベラルーシやジョージアなど。ウクライナはロシアクリミア併合以降、脱退)では機能しないようになっている」とも分析している。

多機能で使いやすく、しかも安い

 MysticStealerが注目されるのは、いくつか理由がある。1つは発見されたのが2023年の4月と比較的新しいマルウェアにもかかわらず、すでに2回のバージョンアップが行われていること。その理由が、ユーザー(犯罪者)からの要望だという。アンダーグラウンドでは注目度が高いマルウェアであることがうかがえる。さらに、フィードバックによるバージョンアップには、フォーラムのベテランハッカーの助言による改良も含まれている。これが、界隈に対してMysticStealerのエンドースメントになっているようだ。

 CYFIRMAのレポートや関連記事によれば、非常に多機能なInfo-Stealerであることがわかる。Chromium、Mozillaといったブラウザベースに対応しており、およそ市場に存在するブラウザすべてに対応する。アカウント情報やクッキー、仮想通過のウォレット情報などが入手できるという。レポートでは、MysticStelaerの管理画面なども確認できる。リサーチャーやアナリストがこのマルウェアの機能などを評価・分析したところ、「非常に洗練されたUIで使いやすい」という声まで上がっている。

 注目されるもう1つの要素は、MysticStealerが月額のサブスクリプション方式で提供されるクラウドサービスである点だ。月額150ドルで、3カ月のライセンスなら390ドルのディスカウントプランもある。機能の割には安すぎるのでは? という専門家の意見もあるが、プロバイダの戦略価格ならば、ありえない設定でもない。 【次ページ】DXや技術革新が進むダークウェブの世界
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます