ダウンローダーとは何か?マルウェアやランサムウェア感染に関連するその役割
近年のサイバー攻撃において、ダウンローダーを利用した攻撃は非常に巧妙で、セキュリティソフトによる検出や駆除を巧みに回避するため、厄介な存在となっています。本記事では、ダウンローダーを使った攻撃の拡大背景やその手法、さらにリスクを軽減するための対策について詳しく解説します。
ダウンローダーとは
ダウンローダーとは、ソフトウェアやコンテンツを一括で効率的にダウンロードするためのツールのことを指します。特に、大きなファイルサイズのデータや、複数のファイルを同時にダウンロードできる機能を提供するものもあります。このようなプログラムは「ダウンロードマネージャー」としても知られています。多くのユーザーが使用する用途は、動画や音声コンテンツのダウンロードであり、この場合、オフラインで使用できるようにMP3やMPEG4などのファイル形式に変換されます。そのため、ダウンロードマネージャーを提供するソフトウェア事業者は、こうしたファイル操作を簡単にするツールをリリースしてきました。
マルウェア攻撃においてダウンローダーが用いられる背景
昨今のサイバー攻撃において、ダウンローダーが頻繁に用いられている背景として、以下のような理由が考えられる。
1)ウイルス対策ソフトでの検知が困難
前述のように、ダウンローダー自体は単にファイルをダウンロードするだけの機能を持っているため、ウイルス対策ソフトではその検出が難しいのです。デバイス内にダウンローダーが隠れていると、一定の時間を経てからマルウェアがインストールされ、実行される仕組みになります。このような巧妙な手法が、セキュリティ対策を難しくしています。また、ダウンローダーが設定を変更すると、異なるマルウェアをダウンロードできるようになるため、攻撃者は次々と新しいマルウェアをダウンロードし、最終的にはウイルス対策機能に検出されないようなマルウェアを取り込む恐れがあります。さらに、マルウェアは複数のファイルに分割されてダウンロードされることもあります。攻撃技術とウイルス対策の進化は、まるでいたちごっこのような状況が続いています。
2)多様な侵入経路
攻撃者は、メールの件名や内容を巧妙に偽装し、ダウンローダーのインストールを狙ってきます。上司や知人、取引先を装い、添付ファイルにダウンローダーを仕込んだメールを送る標的型攻撃が主流です。最近では、複合機の通知を偽装した攻撃手法も登場し、その悪質さは増しています。また、インターネット経由で配布されるファイルや、公式サイト以外からダウンロードしたアプリにダウンローダーが潜んでいることもあります。ダウンローダーはExcelやWordなどのオフィスファイル形式、PDF、Zip、JavaScriptといったさまざまなファイル形式で配布されることがあります。
3)偽装が容易
実行ファイルを画像やテキストファイルに偽装することで、ログ解析による検出を回避する手法が知られています。接続先の情報は後から変更可能であるため、一見無害なダウンロードマネージャーのように見せかけることができます。また、悪意あるファイルをホストしているサーバーも攻撃後に削除できるため、攻撃の証拠が消される場合があります。過去には、オンラインチャットアプリDiscordにおいて、正規のドメインを偽装したファイル共有URLからダウンローダーがマルウェアを取得し、それが配布された事例も確認されています。
ダウンローダーの攻撃手法
ダウンローダーに感染する過程として、メールを経由した侵入の例を説明します。
- 攻撃者が取引先を装い、ダウンローダーを添付ファイルに仕込みメールを送信
- 受信者が添付ファイル内のマクロを有効にし、知らぬ間にダウンローダーを実行
- 実行されたダウンローダーがマルウェアをデバイスにダウンロード・実行し、感染が広がる
ダウンローダーは、外見上無害ですが、バックグラウンドで不正なプログラムを実行する「トロイの木馬」型攻撃の一種とも言われています。この手法を含む、ダウンローダーを使った攻撃の代表的な方法をいくつかご紹介します。
1)Emotet
Emotetは、トロイの木馬型攻撃の代表例として有名である。2014年から被害が断続的に発生し、最初は銀行口座情報を不正に取得するためのマルウェアだった。しかし、時間が経過するにつれ、ランサムウェアや他のマルウェアをダウンロードする機能を備えるように進化した。Emotetが組織内ネットワークに侵入すると、他の端末にも感染が広がりやすいため、被害が拡大しやすい。
2)Dridex
2020年に多数確認されたDridexは、フィッシングメールから感染するダウンローダーであり、その影響でオンラインバンキングの認証情報や機密情報が不正に取得されるケースが多く見られました。
3)Android Trojan Downloader
Androidアプリに潜むダウンローダーは、Webサイト上の偽のFlash Player更新画面からインストールされます。主にAndroidユーザーを狙い、「電池節約」アプリとして偽装し、ユーザーから不正に権限を取得後、バンキング型トロイの木馬やその他のマルウェアをダウンロードさせるものでした。さらに、Bisodown、Gofarer、DarkGate、GuLoaderなど、同様のダウンローダーやその亜種も確認されており、ウイルス対策機能を回避する高度な技術を備えて、スパムメールを介して広がっています。
ダウンローダーへの対策
ユーザーが講じるべき基本的な対策として、セキュリティソフトの導入、そしてOSやアプリケーションの定期的な更新が挙げられます。特に、添付ファイルを起因とする被害が増えており、攻撃手法も日々巧妙化しているため、メールの扱いには一層の注意が必要です。取引先や上司、友人などを騙った攻撃もあるため、普段利用しているサービスやデバイスからの通知であっても、真偽を疑う心構えが求められます。送信者の身元を確認し、マルウェアに感染したアカウントが悪用されるケースも考慮する必要があります。近年では、Microsoft社のオフィス文書のマクロ機能がデフォルトで無効化される設定になりましたが、攻撃者は依然としてマクロ有効化を促す手法を使い、OneNote形式のダウンローダーも確認されています。こうした状況を踏まえ、重要な情報のやり取りについては、メール以外にも電話などの手段で二重確認を行うなど、業務プロセスの再検討が望まれます。また、組織としては、インシデント発生時に迅速な対応が取れるような体制の整備が求められます。疑わしい活動が見られた際には、すぐに情報セキュリティ部門に報告できる体制を確立し、ネットワークのセキュリティを最適化して不正な通信を検出・遮断できるようにすることが効果的です。
