ダウンローダーとは?マルウェアに感染する仕組みや対策について徹底解説|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. ダウンローダーとは?マルウェアに感染する仕組みや対策について徹底解説
             

ダウンローダーとは?マルウェアに感染する仕組みや対策について徹底解説



マルウェアの感染をたくらむ攻撃者は、パソコンやスマートフォンなどに対して、様々な方法でマルウェアに感染させようとします。しかし直接マルウェアに感染させるのではなく、マルウェアをダウンロードするためだけのプログラムを先にパソコンに感染させる手法が存在します。

それが不正プログラム「ダウンローダー」です。今回はダウンローダーの概要と仕組み、そして対策方法について紹介します。

ダウンローダーとは

ダウンローダーとは別のマルウェアをダウンロードさせる仕組みを持つ小さなプログラムのことです。

ダウンローダーそのものは、パソコンに対して悪意のある活動は行いません。しかしダウンローダーによって別のマルウェアがダウンロードされて実行されることで、パソコンに対して悪意のあるマルウェアが感染します。

ダウンローダーを分析してもマルウェアの詳細はわからない

これまでマルウェアは単体で活動するものがほとんどでした。つまりセキュリティ対策ソフトは感染したマルウェアを分析すれば、危険性やどのような被害が発生するのか調べることができました。

しかしダウンローダーが利用された場合、実際にマルウェアがダウンロードされるまで、危険性やリスクを判断することは困難です。攻撃者はインターネット上のサーバーにマルウェアを配置し、ダウンローダーにダウンロードされますが、攻撃者はサーバー上に配置したマルウェアを自由に変更させることが可能だからです。

つまりダウンローダーそのものをいくら分析しても、ダウンローダーがダウンロードするマルウェアの詳細を突き止めることはできません。

ダウンローダーはマルウェア検出数上位の脅威

そして一度ダウンローダーに感染したパソコンからダウンローダーを削除することに成功しても、安心はできません。なぜならダウンローダーによって別のマルウェアがダウンロードされ、すでにパソコンが感染している可能性があるからです。パソコンにダウンローダーが仕組まれる攻撃を1次攻撃とすれば、ダウンロードされたマルウェアに感染させる攻撃は2次攻撃と呼ぶことができるでしょう。

キヤノンマーケティングジャパングループが2019年2月26日に発表したニュースリリースによると、2018年のマルウェア検出数のトップがダウンローダーである「VBA/TrojanDownloader.Agent」であると発表しています。これはマルウェア検出数全体の12.1%を占める規模であると報告しています。

参照2018年年間マルウェアレポートを公開 国内外の政府機関や重要インフラを狙うAPT攻撃を解説

ダウンローダーの仕組み

ダウンローダーを利用してマルウェアに感染させる仕組みには主に3つのタイプがあります。1つずつ見ていきましょう。

1. 設定ファイルを利用する

ダウンローダーがダウンロードするマルウェアのリストを設定ファイルとして利用する方法です。リストから選択させることで複数のマルウェアのダウンロードが可能になります。また、リスト上に設定されたダウンロード先を分散させることで、防御側をかく乱させる効果もあります。

また、マルウェアに感染させた後で設定ファイルを更新することで、別の攻撃も可能になります。設定ファイルはローカルに保存され発見の可能性があるため、暗号化されていることがあります。

2. ファイルの種類を偽装する

ダウンロードする実行ファイルなどの拡張子をJPG・GIF・PNGなどの画像ファイルやテキストファイルに偽装することで、ログの解析による発見から逃れようとするケースです。この手法は現在では一般的であり、検出率も高くなってきています。しかしダウンローダーが報告されはじめた初期の段階では見逃されてしまうこともあったようです。

3. スクリプト言語を利用する

JavaScriptなどのスクリプト言語を利用したダウンローダーも普及しています。また最近ではMicrosoft Office製品で使われているVBA(Visual Basic for Applications)を利用したダウンローダーも検出されています。

Microsoft Office製品はVBAが含まれているファイルを開いた時、スクリプトの実行前に警告が表示されるようになっています。しかし設定により警告を非表示にされていることも多く、意図せずにVBAが実行されることで、被害が拡大する可能性があります。

不正なVBAが含まれたWordやExcelのファイルはメールに添付されている場合があります。不審な送信元のメールを開いたり、よくわからない添付ファイルを安易に実行したりすることは控えた方が良いでしょう。

攻撃者がダウンローダーを利用する理由

最近のマルウェアは高度な機能や自分自身を隠ぺいする仕組みを備えているため、プログラムのファイルサイズが必然的に大きくなっています。そのためセキュリティ対策ソフトから検知されやすく、攻撃者の視点で効率的にマルウェアに感染させることが難しくなってきています。

しかしダウンローダーを使うことで、検知されるリスクを最小限に抑えた状態でマルウェアに感染させることができます。ダウンローダー自体は外部から別のマルウェアをダウンロードさせるためだけの、小さなプログラムに過ぎません。つまりダウンローダーそのものは目立った攻撃を行わないため、セキュリティ対策ソフトからの検知をまぬがれることができます。

また攻撃者がダウンローダーを利用する理由は他にもあります。

一般的にダウンローダーはダウンロードするマルウェアを柔軟に変更させる機能を備えています。つまり攻撃の目的に応じて、様々なマルウェアをパソコンにダウンロードさせることができます。

ダウンローダーがダウンロードしたマルウェアに対してセキュリティ対策ソフトが対応していたとしても、ダウンローダーはセキュリティ対策ソフトが対応していない別のマルウェアをダウンロードできます。つまりセキュリティ対策ソフトの検知を回避しながら、様々なマルウェアへの感染を試みることが可能です。攻撃者がダウンローダーを利用する一番の理由がここにあります。

ダウンローダーへの対策

ダウンローダーへの対策方法について3つ紹介します。

1. セキュリティ対策ソフトを導入する

ダウンローダーへの対策方法としては、他のマルウェアへの対策と同様にセキュリティ対策ソフトの導入が有効です。特にセキュリティ対策ソフトのリアルタイム保護は有効に機能します。またダウンローダーの検出だけでなく、ソフトウェアファイアウォール機能を有効にすることで、ダウンローダーによる通信を遮断することもできます。

2. セキュリティ対策ソフトをアップデートする

セキュリティ対策ソフトを導入後は、定期的なアップデートが必要です。特にウィルス定義ファイルの更新は重要です。またセキュリティ対策ソフト自体のライセンスを切らさないように、適切にライセンス管理することも必要です。

3. ルーターやファイアウォールの設定を調整する

特に企業内のネットワークで使用されているルーターの設定を調整して、不要な通信を遮断するようなポリシーを設定することも有効です。特に効果のある設定は以下の3つです。

  1. 使用していない外向きのTPCポートをすべて閉じる
  2. TCPの80番(HTTP)と443番(HTTPS)のポートに関して、HTTPとHTTPS以外の通信を遮断する
  3. HTTPとHTTPSの通信は全てプロキシ経由でのみ外部と通信できるようにする

これらの設定を行うことで、ダウンローダーによるマルウェアのダウンロード行為を阻止できます。

まとめ

ダウンローダーを利用してマルウェアに感染させる手法は巧妙ではありますが、現在、多くのセキュリティ対策ソフトによって検出が可能になっています。具体的な対策を3つ紹介しましたが、3つともダウンローダー対策として重要な対策です。

そしてダウンローダーの他にもマルウェアは数多く存在します。日頃からセキュリティ対策ソフトを適切に運用し更新を忘れないことが、セキュリティ対策として重要だと言えるでしょう。

関連コラム(あわせて、以下の記事もよく読まれています)

No related posts.

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。