初期侵入を確立して、マルウェアを呼び込むマルウェア

近年、プリカーサーマルウェアという言葉が注目を集めています。この一見分かりにくい言葉はどういった意味を持つのでしょうか?

プリカーサーマルウェアはPricursor malwareと英語で記述されます。これは一般に「先駆け」や「前兆」といった意味で用いられる言葉です。現代の特にランサムウェアのようなマルウェアの感染は多段的、連鎖的に行われます。その先陣を切って、「先遣隊」としての役割を果たすのがプリカーサーマルウェアだといえます。

攻撃はまず、初期侵入から行われます。ここでプリカーサーマルウェアが投入されます。プリカーサマルウェアは、防御側の検知システムを回避することに長けています。多くの場合では、プリカーサーマルウェア自体は悪性のコードを持ちません。そのため、EPPのようなエンドポイントでの防御をすり抜けて届いてしまう確率を高めているのです。攻撃者は、常に防御側の手口を分析し続けています。それが、いきなりランサムウェアのような大きな脅威を与えるマルウェア本体を送り付けるのではなく、段階的な浸食を行うことが効果的であることを見抜いているのです。

この、悪性コードを持たないため、直接的な被害をもたらさないことから、プリカーサーマルウェアは、しばしば防御側の人間にとって軽視される傾向があります。しかし、それは大きな間違いです。プリカーサーマルウェアは、連鎖的にランサムウェアのような重大な脅威を呼び寄せます。この初期段階で正しく検知を行うことによって、インシデントの発生を回避することができるのです。

プリカーサールウェアは従来は「ダウンローダー」や「ドロッパー」と呼ばれていました。これは機能面にフォーカスした表現だと言えます。一方でプリカーサーマルウェアといういい方は、役割について言及した表現です。どちらも、初期侵入した後で、より脅威度の高いマルウェアを呼び込む、または生成するということには変わりありません。

プリカーサーマルウェアの代表例、Emotet

2020年以降に流行したマルウェア、Emotetについて記憶に新しいことかと思います。実は、Emotetはプリカーサーマルウェアの代表例ともいえるマルウェアです。

Emotetは電子メールを中心に感染を拡大させるマルウェアです。感染したPCから奪った実際のメールアドレスや名前のような本文の情報を用いることから、感染率が高く、国内外を問わず大きな脅威となりました。

Emotetは初期アクセスを確立した後は、、TrickBotやIcedID、QakBotなといった他のマルウェアを招き入れます。そして、最終的にはRyukのようなランサムウェアに感染させるケースが多く見られたのです。

このように、段階的・連鎖的に攻撃を行うことが現代のマルウェアのトレンドになっています。この動きは、攻撃者のビジネス化にも密接に関係しており、プリカーサーマルウェアを用いた初期アクセスを提供するグループと、実際にランサムウェアを配布するグループが分業して、自己の役割に特化して活動しています。このように、犯罪者グループは、エコシステムを確立して、効果的な攻撃が行えるようになっていることは念頭に置くべきでしょう。

プリカーサーマルウェアへの対策

このようにプリカーサーマルウェアが展開されている初期段階での対応は防御側にとって極めて重要です。では具体的にどういった対応が有効なのでしょうか?

まずは技術的対策として、EDRの導入が挙げられます。EDRは侵入後の検知に特化したエンドポイントセキュリティソリューションです。

【EPPとEDR】エンドポイントセキュリティの二本柱!それぞれの役割と違いを徹底解説 近年脚光を浴びるエンドポイント エンドポイントとは、その名の通りネットワークの「終点」や「末端」に位置する機器のことです。一昔前...

異常な行動を検知することに長けたこのような製品を導入することで、防御力を高めることが期待できます。もちろん、これだけ入れていれば大丈夫という万能のセキュリティソリューションはありませんので、出口対策も含めて多層防御を実現する構成をとることは必要です。また、SIEMのようなログ集中管理ソリューションも有力な候補になると考えられます。

プリカーサーマルウェアの感染には、ソーシャルエンジニアリングの手法も多用されます。そのため、組織として定期的な研修や啓蒙活動を行うことも欠かせません。不審なメールの添付ファイルの開封を避けるように警鐘を鳴らすことは、原始的ですが、有効に作用します。

まとめ

このように、現代のマルウェア感染は、防御側を欺くために、プリカーサーマルウェアを用いて、初期アクセスの確保時は検知されずらい無害な、他のマルウェアを呼び込むことに特化した、先遣隊のマルウェアが利用されます。

この段階での防御は軽んじられる傾向にありますが、この時点での対応は、インシデントへの発展を防止する意味で極めて重要です。

組織内での研修や、インシデントへの対応訓練、EDR/SIEMといったソリューションの導入などが助けとなります。この連鎖的な攻撃手法を理解しておくことで、どこかの段階で攻撃を断ち切ることも可能になります。ぜひ意識するようにしてみてください。

インシデント 技術