LokiBot|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. LokiBot
             

LokiBot

LokiBotは、主に情報窃取を目的としたマルウェアで、ログイン資格情報(ユーザー名やパスワード)、ブラウザやアプリケーションに保存されたデータ、さらには暗号通貨ウォレット情報などを狙う攻撃ツールです。2015年頃からその存在が確認されており、現在でも進化を続けています。

LokiBotは、エンドポイントに侵入して認証情報を盗み出し、攻撃者の指令と制御(C2)サーバーに送信します。このマルウェアは、特にサイバー犯罪者に人気があり、ダークウェブなどで購入可能なため、広範囲に利用されています。

LokiBotの特徴

1. 情報窃取型マルウェア

LokiBotは、以下のような機密情報をターゲットとします。

  • ブラウザに保存されたログイン情報(Chrome、Firefox、Edgeなど)
  • FTPクライアント(FileZillaなど)やメールクライアント(Outlookなど)の認証情報
  • 暗号通貨ウォレットのデータ
  • システム情報(OSバージョン、ハードウェア情報)

2. 感染経路の多様性

LokiBotは、次のような手法で広がります。

  • フィッシングメールに添付された悪意あるドキュメントや実行ファイル
  • 不正なウェブサイトでホストされるマルウェア
  • ソフトウェアのトロイ化(不正に改変された正規アプリケーション)

3. マルチプラットフォーム対応

主にWindowsをターゲットにしていますが、Android版も確認されており、スマートフォンの情報窃取も可能です。

4. C2サーバーとの通信

感染後、LokiBotは攻撃者が管理するC2サーバーと通信し、盗んだ情報を送信します。この通信は通常、HTTPまたはHTTPSプロトコルを使用して行われます。

5. 難読化と検出回避

LokiBotは、コードを難読化することでアンチウイルスソフトやセキュリティツールによる検出を回避します。また、新しいバージョンでは防御回避の手法が改良され続けています。

LokiBotの感染プロセス

  1. 侵入 攻撃者は、フィッシングメールや悪意あるウェブサイトを通じてLokiBotを配布します。特に、「請求書」や「配送確認」といったビジネス関連のメールが利用されることが多いです。
  2. ペイロードの実行 添付ファイルを開いたり、ダウンロードした不正ファイルを実行することで、LokiBotがシステム内で動作を開始します。
  3. 情報窃取 LokiBotは、ブラウザやアプリケーションから保存された資格情報を収集し、ネットワークやシステムの情報を盗みます。
  4. データ送信 収集したデータをC2サーバーに送信し、攻撃者に提供します。
  5. 持続性の確保 LokiBotは、感染システムでの持続的な活動を目的として、Windowsのレジストリやタスクスケジューラにエントリを作成します。

LokiBotの防御策

1. メールセキュリティの強化

  • 不審なメールや添付ファイルを開かない。
  • スパムフィルタやアンチフィッシングツールを活用する。

2. アンチウイルスとセキュリティソフトの導入

  • 最新のセキュリティツールを使用し、リアルタイム保護を有効にする。
  • LokiBotのような情報窃取型マルウェアに特化した対策を行う。

3. ソフトウェアの定期的な更新

  • OSやブラウザ、アプリケーションを常に最新の状態に保つ。
  • セキュリティパッチを迅速に適用する。

4. ログとネットワークの監視

  • LokiBotのC2サーバーとの通信を特定するためにネットワークトラフィックを監視する。
  • 不審な通信や挙動が検出された場合、早期に対処する。

5. 二要素認証(2FA)の導入

  • ログイン認証に2FAを追加することで、盗まれた資格情報が不正使用されるリスクを軽減する。

LokiBotがもたらす影響

  1. 機密情報の漏洩 LokiBotは、資格情報や機密データを盗むため、個人のプライバシー侵害や企業のビジネスリスクを引き起こします。
  2. 二次攻撃のリスク 盗まれた情報を利用して、さらなる攻撃(例:ランサムウェア、フィッシングキャンペーン)が行われる可能性があります。
  3. 財務的損失 資格情報の盗難による不正アクセスや銀行口座の不正利用が発生する可能性があります。
  4. ブランドイメージの悪化 感染による情報漏洩は、企業の信用やブランド価値に悪影響を及ぼします。

LokiBotの事例

  1. 企業を狙った攻撃 LokiBotは、企業の従業員をターゲットにフィッシングメールを送信し、ネットワーク全体に感染を広げる攻撃が確認されています。
  2. Android版LokiBotの活動 Android向けバージョンでは、金融機関のアプリケーションを装って感染し、スマートフォンから銀行口座情報を窃取するケースが報告されています。
  3. マルチステージ攻撃の一環 LokiBotは、初期段階で資格情報を盗むだけでなく、追加のマルウェアをダウンロードして複数の攻撃を連携させる役割も果たします。

まとめ

LokiBotは、主に資格情報の窃取を目的とした情報窃取型マルウェアであり、その多様な感染経路と高い検知回避能力により、個人や企業に深刻な脅威をもたらします。防御策としては、メールセキュリティの強化、セキュリティツールの導入、ネットワークトラフィックの監視、二要素認証の実施が重要です。

また、LokiBotの攻撃手法は進化を続けているため、常に最新の脅威情報を把握し、適切なセキュリティ対策を講じることが必要です。早期の検出と対処により、LokiBotによる被害を最小限に抑えることができます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。