ドロッパー|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ドロッパー
             

ドロッパー

ドロッパー(Dropper)は、サイバー攻撃で使われる悪意あるプログラムの一種で、マルウェア(ウイルスやトロイの木馬など)をユーザーのコンピュータやネットワーク内に密かにインストール(ドロップ)する役割を持ちます。ドロッパー自体は通常、無害または目立たないように設計されているため、単体では即座に脅威と認識されない場合が多いですが、内部でより危険なマルウェアをダウンロードまたは展開することを目的として動作します。

この手法によって、攻撃者は対象のシステムに侵入し、マルウェアの検出を回避しつつ、さまざまな攻撃を行うことが可能となります。多くのドロッパーは、リモートサーバーから他のマルウェアをダウンロードして起動したり、ファイルシステム内に隠しファイルとしてマルウェアを展開するなど、感染を拡大させる特徴があります。

ドロッパーの特徴と種類

1. スタンドアロン・ドロッパー

スタンドアロン・ドロッパーは、最初からマルウェアを内蔵しているタイプです。システム内で自らそのマルウェアを展開し、すぐに感染させることができます。外部と通信する必要がないため、ネットワークが制限されている環境でも動作可能です。

2. ダウンロード型ドロッパー

ダウンロード型ドロッパーは、リモートサーバーから他のマルウェアをダウンロードして展開するタイプです。感染したデバイスがインターネットに接続されると、指定されたサーバーにアクセスして別のマルウェアをダウンロードし、実行します。この方法は、感染後に複数種類のマルウェアを送り込むための手段としても使用されます。

3. ファイルレス型ドロッパー

ファイルレス型ドロッパーは、ファイルとしては存在せず、メモリ上でのみ動作するドロッパーです。これにより、ウイルス対策ソフトの検知を回避することができ、マルウェアが発見されにくくなります。感染後は、直接メモリ上に他のマルウェアを展開し、システムを攻撃します。

ドロッパーが使用される目的

1. 検出回避

ドロッパーは、マルウェアを直接インストールするのではなく、まずドロッパーをシステムに導入し、後からマルウェアをドロップすることで、ウイルス対策ソフトやセキュリティシステムの検出を避けるために使用されます。検出が困難なドロッパーは、攻撃者にとって非常に便利です。

2. 多段階の攻撃

ドロッパーは多段階の攻撃を可能にします。最初は単純なドロッパーを送り込み、後から別のマルウェア(ランサムウェアやキーロガーなど)をインストールして、最終的な目的を達成することができます。段階的に異なるマルウェアをインストールすることで、攻撃の発覚を遅らせることができます。

3. 指定のタイミングで攻撃実行

ドロッパーは攻撃をタイミングや条件に応じて制御することができるため、システムが特定の条件を満たした時点でマルウェアを展開するように設定されていることが多いです。これにより、特定の日時や条件が揃うまで攻撃を待機させ、感染がより効果的になるように調整できます。

ドロッパーの感染経路

ドロッパーは、主に次のような経路でターゲットのシステムに感染します。

  • メールの添付ファイル:偽の請求書や重要書類を装った添付ファイルとして送信され、ユーザーが開くとドロッパーがインストールされる手法です。
  • 悪意あるリンク:WebサイトやSNS、メッセージングアプリで不正リンクをクリックさせてダウンロードさせる方法です。
  • 正規ソフトウェアへの埋め込み:フリーソフトウェアや偽のソフトウェアにドロッパーを組み込んで配布し、インストール時にドロップさせる手法です。

ドロッパーに対する防御策

  1. ウイルス対策ソフトの導入と定期的な更新 最新のウイルス対策ソフトを使用し、定期的に更新することでドロッパーの検出率を高めます。最新の脅威情報やパターンを取得しているウイルス対策ソフトは、ドロッパーの動作を監視するための有力な防御手段です。
  2. 不明なファイルやリンクを開かない 身元不明のメール添付ファイルやリンクは不用意に開かないようにし、信頼できる送信元であることを確認します。特に.exeファイルやスクリプトファイルは注意が必要です。
  3. システムやソフトウェアの更新 OSやアプリケーションの脆弱性がドロッパーの侵入経路となることがあるため、システムやソフトウェアを最新バージョンに保ち、脆弱性の修正パッチを適用します。
  4. ネットワーク監視と異常検知 ドロッパーは外部サーバーと通信する場合が多いため、ネットワーク監視や異常な通信の検出によって感染の兆候を早期に発見できます。DDoS攻撃や不審なトラフィックにも注意を払い、システムの安全性を維持します。
  5. 権限管理とアクセス制御 ドロッパーがシステム内で展開することを防ぐため、管理者権限や不要なアクセス権限を制限することも重要です。アクセス権を厳密に管理することで、感染が拡大するリスクを抑えることができます。

まとめ

ドロッパーはマルウェアをシステムに密かに展開する悪意あるプログラムであり、感染経路が多様であるため注意が必要です。ウイルス対策ソフトの更新や権限管理、ネットワーク監視など複数の対策を講じることで、ドロッパーやマルウェアによる被害リスクを低減することが可能です。セキュリティの基礎を強化することで、システムやネットワークの安全性を維持することができます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。