インフォスティーラーとは【用語集詳細】
インフォスティーラー(Infostealer)
インフォスティーラー(Infostealer)は、Information Stealerの略であり、感染したデバイスから情報を窃取するタイプのマルウェアです。日本語では、情報窃取マルウェアとも呼ばれます。
窃取する情報には、ログイン/パスワード情報、Eメールアドレス、クレジットカードや銀行口座に関する情報、キー入力、画面のキャプチャ、システム内部のデータ、ブラウザ情報等があります。
特にキーボード入力を窃取するタイプはキーロガーと呼ばれます。
概要
インフォスティーラーの代表例にRedLine、Raccoon Stealer、Vidar、Taurus、Azorult等があります。
ダークウェブ・マーケットやTelegramでは、MaaS形態で数多くのインフォスティーラーが販売されており、サイバー犯罪者に悪用されています。
インフォスティーラーは、侵害したネットワークやシステムに対する最終ペイロードとして配送される場合もあります。
窃取された情報は、個人情報に基づく詐欺やフィッシング、クレジットカードの悪用、銀行口座や仮想通貨の窃取に用いられるほか、近年ではさらなる不正アクセスのためのクレデンシャル情報収集にも活用されています。
現在サイバー犯罪コミュニティで活発化しているクレデンシャル情報の売買や、イニシャル・アクセス・ブローカーは、インフォスティーラーが収集した情報を利用しているケースが多いとされています。
侵入経路と手段
インフォスティーラーのターゲット侵害手段は、フィッシングメールや偽のダウンロードサイト、マルスパム、マルバタイズメント、悪性のブラウザ拡張機能、脆弱性悪用の他、多要素認証消耗攻撃等、様々です。
トロイの木馬等、他のマルウェアと組み合わせて利用されることもあります。
技術
インフォスティーラーは、不正なコードや、OSに備わった機能、API等を悪用し、侵害デバイス・システムから情報を窃取します。
また、セキュリティツールやセキュリティ製品からの検知を避けるために様々な偽装・検知回避機構を備えています。
代表的なインフォスティーラー
インフォスティーラーが収集するクレデンシャルを検知
インフォスティーラーは、侵害したデバイスからクレデンシャルを収集し、そのデータをボットネットを通じて転送します。
過去にはRaccoon Stealerが収集したメールアドレス情報を検索する特設サイトが、米国司法省によって開設されました(Raccoon Infostealer Disclosure)。
SOMPO CYBER SECURITYが提供するサービスKryptosLogicは、サイバー犯罪者が運用するインフォスティーラーのインフラストラクチャから、特殊な方法で内部通信をキャプチャし、お客さまのメールアドレスやクレデンシャルがマルウェアに収集されていないか、すなわちマルウェアに感染していないかを検知する独自の技術を持っています。