TrickBot(トリックボット)|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. TrickBot(トリックボット)
             

TrickBot(トリックボット)

TrickBot(トリックボット)は、主に銀行や企業を標的にしたマルウェアで、初めはオンラインバンキング情報の窃取を目的として2016年に登場しましたが、その後、多機能なモジュールを備えたマルウェアへと進化し、ランサムウェア攻撃やネットワーク侵入、情報窃取のために広く使われるようになりました。TrickBotは、特に金融情報、ログイン認証情報、システム情報を盗むことに特化しており、標的のデバイスに侵入した後、さらに他のマルウェアを展開することもあります。TrickBotはEmotetやRyuk、Contiなどのマルウェアと連携しており、サイバー犯罪グループによって世界的に活用されています。

TrickBotの特徴

TrickBotには以下のような特徴があり、複雑なネットワーク環境にも対応できる柔軟性を備えています。

  1. 多機能モジュール
    TrickBotは、機能ごとにモジュールを備えた構造を持ち、ユーザー情報の窃取、メール情報の収集、ネットワーク探索など多様な機能が含まれます。このモジュール構造により、攻撃者が特定の攻撃目的に合わせてTrickBotをカスタマイズできます。
  2. 感染拡大能力
    ネットワーク内での感染拡大に特化した機能があり、感染端末から他の端末やシステムへの横展開が可能です。特に、SMB(Server Message Block)プロトコルやパスワードクラッキングを用いて、ネットワーク内で感染を広げます。
  3. バックドアの設置
    TrickBotは感染端末にバックドアを設置し、攻撃者がリモートからシステムにアクセスできるようにします。これにより、ランサムウェアなど他のマルウェアを後から仕掛けることが容易になります。
  4. マルウェア配布のプラットフォーム
    TrickBotは、EmotetやRyuk、Contiといった他のマルウェアと連携し、標的システムにこれらを追加でインストールするプラットフォームとしても利用されます。この連携により、情報窃取後にランサムウェアを仕掛け、金銭を要求する「二重脅迫」が行われます。

TrickBotの動作の仕組み

TrickBotは、標的システムへの侵入、情報窃取、感染拡大といった段階で動作します。以下は一般的な攻撃の流れです:

  1. 初期侵入
    TrickBotの感染は、フィッシングメールや不正なリンクを通じて行われることが多く、メールには添付された不正ファイルやURLが含まれています。このファイルが実行されると、TrickBotのダウンロードが開始され、システムに感染します。
  2. モジュールのロードと情報窃取
    システムに感染すると、TrickBotは複数のモジュールをロードして、システム情報、ブラウザのログイン情報、バンキング情報、クレデンシャル(認証情報)などを収集し、攻撃者に送信します。
  3. ネットワーク内の感染拡大
    TrickBotは、感染システム内のネットワークを探索し、他の端末への感染を試みます。特に、ネットワーク上の他のデバイスに対してパスワードクラッキングや脆弱なSMBプロトコルを用いて感染を拡大します。
  4. ランサムウェアの展開
    TrickBotはバックドアを通じて、RyukやContiといったランサムウェアを感染デバイスにインストールします。ランサムウェアがファイルを暗号化し、標的に身代金を要求することで金銭的な利益を得ます。
  5. 持続的アクセスの確保
    TrickBotは、感染した端末に持続的なアクセスを維持するための機能も持ち、リブート後も再度自動的に起動することで長期的な感染を続けます。

TrickBotのモジュールと機能

TrickBotは、多様な攻撃目的に対応するためのモジュールが設計されており、以下の主要なモジュールがあります。

  • 情報収集モジュール:標的システムのブラウザ履歴、ログイン情報、クレデンシャル、Cookie情報を収集し、攻撃者に送信します。
  • メール収集モジュール:OutlookやExchangeからメールのメッセージやアドレス情報を収集し、感染拡大のためのメールスパムに利用します。
  • ネットワーク感染モジュール:他の端末に感染を広げるためのパスワード攻撃や脆弱性を狙う機能を持ち、ネットワーク内での感染を試みます。
  • リモートコントロールモジュール:バックドアを介してリモートから端末を操作できるようにし、他のマルウェアの展開や情報の窃取を支援します。

TrickBotの対策方法

TrickBotの攻撃から組織やシステムを守るためには、以下の対策が効果的です。

  1. スパムフィルターとフィッシング対策
    メールでの感染が多いため、スパムフィルターやフィッシング対策ソフトを利用して、不審なメールやリンクが受信されないようにすることが重要です。
  2. 多要素認証(MFA)の導入
    パスワードクラッキングによる感染拡大を防ぐために、多要素認証を導入することで、IDとパスワード情報だけでのアクセスを制限します。
  3. 定期的なバックアップ
    ランサムウェアの被害に備えて、データを定期的にバックアップし、感染した場合でも迅速にデータ復旧が行えるよう準備します。バックアップはネットワーク外の場所に保管し、隔離された状態にします。
  4. セキュリティパッチの適用
    SMBプロトコルや脆弱なシステムを狙った感染拡大を防ぐため、システムのセキュリティパッチやアップデートを定期的に適用し、脆弱性を最小限に抑えます。
  5. エンドポイント保護とリアルタイム監視
    アンチウイルスソフトやEDR(Endpoint Detection and Response)を活用して、TrickBotやその連携マルウェアがシステムに侵入しないようリアルタイムで監視・遮断します。

TrickBotの代表的な被害事例

  • 2020年 米国病院への攻撃
    TrickBotは、米国内の医療機関に対して広範囲に感染を広げ、病院ネットワークにバックドアを設置し、ランサムウェアを展開しました。この攻撃は病院の業務に深刻な影響を与え、患者情報の漏洩リスクも高まりました。
  • 2020年 Microsoftによるトリックボットの一部無力化
    Microsoftと米政府機関は、TrickBotの感染ネットワークを一時的に停止させるために共同で作戦を実行しました。しかし、完全な停止には至らず、後にTrickBotは活動を再開しました。

まとめ

TrickBotは、情報窃取からランサムウェア攻撃までを実行可能なマルウェアプラットフォームで、サイバー犯罪グループにより世界中の企業や金融機関を標的にしています。感染経路が多様で、ネットワーク内での感染拡大や他のマルウェアの配布が行われるため、フィッシング対策、バックアップ、エンドポイント保護など複層的なセキュリティ対策が必要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。