フィッシングの手口は変化しています。サイバー犯罪者たちは、ゆっくりと、しかし確実に、情報窃取型マルウェアへと移行しつつあります。
従来のフィッシング攻撃は依然として存在しています。むしろ、その勢いは衰えていません。しかし、多くの攻撃者はもはや、偽のログインページで被害者にユーザー名やパスワードを入力させることだけに注力しているわけではありません。その代わりに、インフォスティーラー(情報窃取型マルウェア)を用いて、感染したデバイスからパスワード、Cookie、ブラウザデータ、その他の機密情報を密かに収集しています。
この手法は、拡張性が高く、利用の障壁を低くできる点で魅力的です。マルウェアは、被害者が偽のサイトに認証情報を入力することを待つのではなく、ブラウザに保存済みのログイン情報、セッショントークン、自動入力データ、仮想通貨ウォレットの情報、さらには有用な情報が含まれるファイルまでもを収集することができます。
これにより、攻撃の連鎖が見えにくくなります。従来のフィッシングメールには、不審なリンク、偽のログインページ、奇妙な添付ファイルなど、明らかな手がかりが残されることがよくあります。しかし、情報窃取型マルウェアは異なります。これらは、悪意のあるオンライン広告(マルバタイジング)、クラックされたソフトウェア、偽のブラウザ更新、ゲームのチートツール、あるいは怪しいダウンロードサイトなどを通じて侵入し、一度インストールされるとバックグラウンドで動作し、被害者のデバイスに保存されているあらゆる情報を盗み出します。
この変化の一因は、多要素認証(MFA)の普及にあると考えられます。サイバー犯罪者はセッションクッキーを盗むことでMFAを迂回できるため、パスワードや認証コードを必要とせずにアカウントにアクセスできてしまうのです。
もう一つの要因は、マルウェア・アズ・ア・サービス(MaaS)のエコシステムの台頭である。情報窃取型マルウェアは導入コストが安く、拡張も容易で、収益性が高い。多くの犯罪者は、攻撃チェーンを自ら構築するのではなく、アンダーグラウンドのベンダーから既製の窃取キット、ローダー、あるいは初期アクセスサービスを購入している。これにより参入障壁が低くなり、技術力の低い攻撃者でも認証情報の窃取作戦を実行できるようになっている。
多くの場合、情報窃取型マルウェアは、より大規模な犯罪活動の第一段階に過ぎません。盗み出されたデータは収集・加工され、その情報に関心を持つ他の犯罪者に販売されます。こうした購入者は、詐欺、アカウント乗っ取り、ビジネスメール詐欺、あるいはランサムウェアなどを専門としている場合があります。感染した1台のマシンから、複数の収益源を生み出すことが可能です。ある購入者には認証情報、別の購入者にはセッションクッキー、さらに別の購入者には企業へのアクセス権やウォレットデータなどが提供されるのです。
こうした役割分担こそが、情報窃取型マルウェアがこれほど根強く残っている理由の一つです。運営者は最小限の労力でコードの更新、インフラの入れ替え、新たなキャンペーンの開始を行うことができ、一方、協力者はフィッシング、マルウェア広告、偽のダウンロード、あるいはソーシャルメディア上の誘導といった手段を通じて配布を担当しています。
安全に過ごすには
情報窃取型マルウェアは、悪意のある広告、偽のブラウザ更新、ワンクリックダウンロードなどを通じて侵入することが多いため、広告やポップアップには常に疑いの目を向けることが大切です。私からのアドバイス:スポンサー広告は絶対にクリックしないでください。その代わりに、公式ウェブサイトに直接アクセスし、ソフトウェアはメーカーの公式サイトやアプリストアなど、信頼できるソースからのみダウンロードするようにしましょう。
また、近年ますます普及している手口として「ClickFix」があります。これは、ユーザーを騙して自身のデバイスを感染させるソーシャルエンジニアリング攻撃です。ウェブサイト、メール、メッセージからコピーしたコマンドやスクリプトは、その出所を信頼でき、その操作の目的を理解している場合を除き、絶対に実行しないでください。ウェブサイト上でコマンドの実行や技術的な操作を求められた場合は、作業を進める前に公式ドキュメントを確認するか、サポートに連絡してください。
手を出してはいけないものを手に入れてしまった?
海賊版ソフトウェア、ゲームのチートツール、クラックされたツールは、依然として情報窃取型マルウェアの最も一般的な感染経路となっています。こうしたダウンロードには、本来入手しようとしたソフトウェアと一緒にインストールされるマルウェアが同梱されていることがよくあります。追加機能や利便性を謳う多くのブラウザ拡張機能やアドオンについても、同様の注意が必要です。信頼できる開発元が提供する拡張機能に限定し、レビューや権限を慎重に確認し、必要以上に多くのアクセス権を要求するアドオンのインストールは避けてください。
フィッシングメールは依然として大きな脅威ですが、クリックする前に一呼吸置いて確認すれば、多くのケースを見破ることができます。たとえ信頼できる企業からのメールのように見えても、特にファイルを開くよう促されたり、至急何かをインストールするよう求められたり、請求に関する問題を解決するよう指示されたりする場合は、不審な添付ファイルやリンクには十分注意してください。 不審な点がある場合は、差出人のアドレスを確認し、誤字や不自然な表現がないかチェックしてください。また、メール内のリンクではなく、企業の公式ウェブサイトなど別の手段を通じて、その依頼内容を確認するようにしてください。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
