Written by WizLANSCOPE編集部
目 次
セキュリティ分野における「ダウンローダー」とは、マルウェアをダウンロードさせることを目的に作成されたプログラムを指します。
ダウンローダーによってさまざまなマルウェアがデバイスに侵入すると、機密情報を窃取されたり、サイバー攻撃の踏み台として悪用されたりするリスクが生じます。
本記事では、ダウンローダーの危険性や有効な対策などについて解説します。
▼本記事でわかること
- ダウンローダーの概要
- ダウンローダーを用いた攻撃手法
- ダウンローダーが侵入した場合のリスク
- ダウンローダーへの対策方法
「ダウンローダーとは何か」「どのような危険性があるのか」などを知りたい方はぜひご一読ください。
ダウンローダーとは
ダウンローダーとは、マルウェアをダウンロードさせることを目的に設計されたプログラムです。
あくまでもマルウェアの侵入を「補助するもの」であり、ダウンローダー自体が直接的に悪意ある活動を行うわけではありません。
そのため、アンチウイルスソフトなどの検知をすり抜けやすいという厄介な特徴があります。
また、ダウンローダー単体を分析しただけでは、「どのようなマルウェアがダウンロードされるか」「どのような被害が想定されるのか」といった点を特定することはできません。
このような特性が、攻撃の予測や防御を困難にし、被害の拡大を招く要因となっています。
ドロッパーとの関係
ダウンローダーと関係の深いプログラムとして「ドロッパー」と呼ばれるものがあります。
ドロッパーとは、特定のタイミングでマルウェアを「ドロップ(投下)」する役割を持つプログラムで、検知を逃れてデバイスに侵入した後、ランサムウェアなどのマルウェアを展開・実行します。
ドロッパーには、内部にマルウェアを格納しているもの(ペイロード型)と、格納していないもの(ダウンローダー型)の2種類があります。
このうち、内部にマルウェアを格納せず、外部からダウンロードして実行するものが、「ダウンローダー」です。
つまり、ダウンローダーはドロッパーの一種といえます。
サイバー攻撃にダウンローダーが利用される理由
ダウンローダーは、サイバー攻撃に多用される傾向があります。
その理由として以下が挙げられます。
- アンチウイルスソフトの検知をすり抜けやすい
- テキストファイルや画像ファイルなどに偽装できる
- ダウンロードするマルウェアを状況に応じて変更できる
- さまざまな経路から侵入させることができる
詳しく確認していきましょう。
アンチウイルスソフトの検知をすり抜けやすい
ダウンローダーには、それ自体に不正なソースコードが含まれていない場合も多く、攻撃性が低いように見えるため、アンチウイルスソフトの検知を回避しやすいという特性があります。
また、ダウンローダーはC&Cサーバー(攻撃者が用意したサーバー)に接続し、そこからマルウェアをダウンロードします。このサーバー上のマルウェアは、攻撃者の意図に応じて柔軟に変更することができます。
そのため、特定のマルウェアがアンチウイルスソフトによって検知された場合でも、別のマルウェアに切り替えることで、検知を回避しながら攻撃を継続することができます。
関連ページ
テキストファイルや画像ファイルなどに偽装できる
ダウンローダーは、メールの添付ファイルとして送信されるケースが多く見られます。
しかし、拡張子が「.exe」などの実行ファイルの場合、ユーザーが不審に思い、開封しない可能性が高くなります。
そのため攻撃者は、「.jpg」や「.docx」などの拡張子に偽装し、正規のファイルであると誤認させることで、ユーザーに開封を促します。
また、ダウンローダーは攻撃者が用意したサーバーの接続先情報を変更できるため、接続先を頻繁に切り替えることでアクセスログを改ざんし、追跡や分析を困難にすることが可能です。
ダウンロードするマルウェアを状況に応じて変更できる
ダウンローダーは、状況に応じてダウンロードするマルウェアを変更できるため、攻撃者は目的に応じた最適なマルウェアを選択し、攻撃を効率化できます。
例えば、特定のマルウェアがアンチウイルスソフトによって検知された場合、別のマルウェアを試すことで、検知を回避しながら攻撃を継続することが可能となります。
さまざまな経路から侵入させることができる
ダウンローダーは、メールやWebサイト、フリーのアプリ・ソフトウェア、広告などさまざまな経路から侵入する可能性があります。
その中でもメールは代表的な侵入経路の一つといえるでしょう。
ダウンローダーを仕込んだ添付ファイルを開封させるため、攻撃者は取引先や社内関係者などを装ったメールを送りつけます。
送信元やメールの内容を十分に確認せず添付ファイルを開いてしまうと、ダウンローダーが侵入し、マルウェアがダウンロードされる恐れがあります。
ダウンローダーを用いた攻撃手法
ダウンローダーを使用した主な攻撃手法として、以下の3つが挙げられます。
- ドライブバイダウンロード
- フィッシング
- ソーシャルエンジニアリング
具体的な攻撃手法を理解し、対策の強化につなげましょう。
ドライブバイダウンロード
ドライブバイダウンロード攻撃とは、ユーザーが不正なWebサイトを閲覧した際に、マルウェアを自動的にダウンロード・実行させられる攻撃手法です。
主にWebブラウザやプラグイン、OSの脆弱性を悪用して実行されます。
具体的には、以下のような流れで攻撃が成立します。
- 脆弱性のあるサイトに対して、攻撃者が悪意のあるスクリプトを埋め込む
- ユーザーが該当のサイトを閲覧すると、不正なサイトへリダイレクトされる
- リダイレクト先で悪意のあるプログラム(ダウンローダー)が、自動的にダウンロードされる
- デバイスに侵入したダウンローダーが不正な実行ファイルをインストールし、マルウェア感染を引き起こす
ドライブバイダウンロード攻撃では、ユーザーの明確な操作を必要とせずに感染が成立する場合があります。
そのため、被害者が気付かないままマルウェアに感染してしまうケースも少なくありません。
フィッシング
フィッシングとは、正規の組織やサービスを装ったメールやSMS、偽サイトを利用してユーザーを欺き、重要な情報を窃取するサイバー攻撃手法です。
この手法では、送信元や文面を巧妙に偽装し、メールの添付ファイルを開かせることでダウンローダーを侵入させます。
その後、オンラインバンキングの認証情報を窃取するマルウェアなどをダウンロードさせ、不正に金銭を引き出すといった被害が発生するケースも確認されています。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、人間の心理的な弱みやミスにつけ込んで、重要な情報を盗み取る攻撃手法です。
一般的なサイバー攻撃は技術的な脆弱性を狙うケースが多いのに対して、ソーシャルエンジニアリングは人の判断ミスや習慣を利用する点が特徴です。
ソーシャルエンジニアリングを利用したダウンローダーの代表的な攻撃手法として、以下のようなものが挙げられます。
| USBメモリを使った攻撃 | ・攻撃者がダウンローダーを仕込んだUSBメモリをオフィスや公共の場に意図的に放置する ・ユーザーが拾ったUSBメモリをPCに接続すると、USB内のダウンローダーが実行され、マルウェア感染につながる |
|---|---|
| なりすまし | ・攻撃者が技術サポートやIT担当者を装い、電話やメールでユーザーに連絡する ・「セキュリティアップデートが必要なのでこのファイルを開いて設定してください」などと指示し、ダウンローダーを実行させる |
ダウンローダーが侵入した場合のリスク
ダウンローダーがデバイスに侵入すると、以下のような重大なリスクが発生する可能性があります。
- 個人情報・認証情報の窃取
- ランサムウェア感染による身代金要求
- ボットネット化によるサイバー攻撃の踏み台化
詳しく見ていきましょう。
個人情報・認証情報の窃取
ダウンローダーによって感染したマルウェアは、デバイス内の個人情報や認証情報を窃取し、攻撃者に送信する可能性があります。
仮に窃取された情報がダークウェブ上で売買された場合、フィッシング詐欺や不正ログインなどに悪用されることも懸念されます。
また、取引先や顧客の情報が悪用されたとなると、企業の信用が損なわれ、事業経営にまで深刻な影響が及ぶ可能性もあります。
ランサムウェア感染による身代金要求
ダウンローダーがランサムウェアをダウンロード・実行すると、デバイス内のファイルが暗号化され、復旧と引き換えに高額な身代金を要求される可能性があります。
また、企業ネットワークが標的となった場合には、業務の停止や大規模なデータ損失を引き起こす恐れもあります。
近年では、ランサムウェアの手口として、「支払いに応じなければ盗み出したデータを公開する」といった追加の脅迫をする二重脅迫型や三重脅迫型も報告されています。
適切な対策を講じていない場合、想定以上の被害がつながる可能性があります。
関連ページ
ボットネット化によるサイバー攻撃の踏み台化
「ボットウイルス」と呼ばれるマルウェアがダウンローダーによってダウンロードされた場合、感染したデバイスがボットネットの一部に組み込まれてしまう可能性があります。
ボットネットとは、ボットウイルスに感染した複数のコンピュータで構成されるネットワークのことで、大規模なDDoS攻撃やスパムメールの大量送信などに悪用されます。
つまり、ボットウイルスに感染すると、サイバー攻撃の踏み台として悪用され、意図せずにサイバー攻撃に加担してしまう恐れがあります。
たとえマルウェア感染の被害者であったとしても、結果としてサイバー攻撃に関与したとみなされてば、企業の社会的信頼が損なわれる可能性があります。
ダウンローダーへの対策方法
サイバーセキュリティの脅威が日々進化する中、ダウンローダーからシステムを守るには多角的なアプローチが欠かせません。
ここでは、ダウンローダーへの主な対策方法を5つ紹介します。
- AI・機械学習を活用した次世代型アンチウイルスの導入
- OS・アプリケーションの最新化
- 従業員へのセキュリティ教育の実施
- ルーター・ファイアウォールによるネットワーク監視
- EDRの導入
これらはダウンローダーに限らず、さまざまなサイバー攻撃への対策としても有効な基本的かつ重要な取り組みです。
詳しく確認していきましょう。
AI・機械学習を活用した次世代アンチウイルスの導入
ダウンローダーは、デバイスに侵入した後、悪意のあるマルウェアをダウンロードさせることで、デバイスやネットワークに被害を与えます。
そのため、信頼性の高いアンチウイルスソフトを導入し、マルウェアの侵入を水際で防ぐことが重要です。
アンチウイルスとは、コンピューターウイルスやマルウェアから、システムを保護するために設計されたプログラムで、さまざまな被害を未然に防ぐ、いわゆる「盾」のような役割を担います。
一方でダウンローダーは、従来型のパターンマッチング方式のアンチウイルスソフトでは検出が難しい場合があります。
そのため、未知や変異型のマルウェアであっても検知可能なAI・機械学習を活用した次世代型アンチウイルスの導入が求められています。
OS・アプリケーションの最新化
ダウンローダーは、 Webブラウザやプラグイン、OSの脆弱性を悪用して侵入するため、脆弱性を修正するセキュリティパッチの適用も欠かせません。
攻撃者は、まだ世間に公開されていない・あるいは開発者やベンダー側も認識できていない、アプリケーションやソフトウェアに潜む脆弱性を悪用し、脆弱性が解消される前のわずかな隙をついて、不正アクセスやマルウェア感染などを仕掛けてくるケースがあります。こうした手法は、「ゼロデイ攻撃」と呼ばれます。
このような攻撃に対抗するためには、Webブラウザやプラグイン、OSの自動更新を有効にし、セキュリティパッチを漏れずに適用することが重要です。
さらに、サポートが終了したバージョンのソフトウェアを使用し続けることは大きなリスクとなるため、早期にアップデートや代替手段を検討することが求められます。
従業員へのセキュリティ教育の実施
従業員のセキュリティ意識が低いと、例えば不審なメールの添付ファイルを安易に開封するなど、ダウンローダーの侵入につながる危険な行動をとりかねません。
そのため、従業員に対して情報セキュリティ教育を実施し、セキュリティ意識を底上げすることが重要です。
また、フィッシング攻撃を想定した実践的な訓練やテストを定期的に実施するのも効果的です。
ルーター・ファイアウォールによるネットワーク監視
ダウンローダーはC&Cサーバーと通信し、マルウェアをダウンロードするため、ネットワークレベルでの対策も求められます。
具体的には、以下のような対策が挙げられます。
- 未使用のポートを閉鎖し、不要なプロトコルの通信を制限する
- HTTP/HTTPS以外の外部通信をブロックする
- プロキシサーバーを介した通信監視を実施し、異常なトラフィックを検知できる体制を整備する
また、ネットワーク監視にはNDRの導入も有効です。
NDR(Network Detection and Response)とは、ネットワーク機器に流れるトラフィックを分析し、外部からの攻撃や内部不正の兆候を可視化・検知するセキュリティソリューションです。
ネットワーク上の異常なトラフィックをリアルタイムで検知することで、外部への情報流出や社内ネットワークへの不正アクセスの防止につながります。
EDRの導入
ダウンローダーの侵入を完全に防ぐことは難しいため、侵入を前提とし、検知から対応までを迅速に行える「EDR」の導入も推奨されます。
EDRとは、PCやスマートフォン、サーバーなどのエンドポイントにおける不審な挙動やインシデントの兆候をリアルタイムで検知し、迅速な対応を可能にするセキュリティソリューションです。
EDRは、エンドポイントを常時監視する仕組みを備えており、マルウェア感染や不正アクセスなどの脅威を早期に検知し、対応することが可能です。
▼EDRの主な機能
- エンドポイントの挙動をリアルタイムで監視し、不審な動きを即座に検出する
- 感染を検知した場合、マルウェアの自動隔離・削除を実行する
- 攻撃の経路分析を行い、再発防止策を策定する
EDRを導入することで、ゼロデイ攻撃やファイルレスマルウェアにも対応できるようになり、より高度な防御体制の構築につながります。
ダウンローダー対策に「LANSCOPE サイバープロテクション」
ダウンローダーを経由したマルウェア感染を高精度で検知・防御する方法として、本記事では「LANSCOPE サイバープロテクション」の2種類のアンチウイルスソリューションを紹介します。
▼2種類のアンチウイルスソリューション
- アンチウイルス ✕ EDR ✕ 監視サービスをセットで利用できる「Aurora Managed Endpoint Defense」
- 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
アンチウイルス✕EDR✕監視サービスをセットで利用可能な「Aurora Managed Endpoint Defense」
「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense」を提供しています。
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。
「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。
- 脅威の侵入をブロックするAIアンチウイルス「Aurora Protect」
- 侵入後の脅威を検知し対処するEDR「Aurora Focus」
セキュリティのスペシャリストが徹底したアラート管理を行うため、お客様にとって本当に必要なアラートのみを厳選して通知することが可能になり、不要なアラートに対応する必要がなくなります。
また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。
各種ファイル・デバイスに対策できるNGAV「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。
「Deep Instinct」は、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
※Unit221B社調べ
万が一、マルウェアに感染した場合は?
迅速な復旧を実現する「インシデント対応パッケージ」
「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定します。
また、マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまでを提供します。
まとめ
本記事では「ダウンローダー」をテーマに、その危険性や有効な対策などを解説しました。
本記事のまとめ
- ダウンローダーとは、マルウェアをダウンロードさせることを目的に設計されたプログラムであり、それ自体が直接的に悪意ある行動をとらない場合もあるため、検知が難しい傾向がある
- 万が一ダウンローダーがデバイスに侵入すると、個人情報や認証情報の窃取、ランサムウェア感染による身代金請求、さらにはボットネット化によるサイバー攻撃への加担といった被害が想定される
- ダウンローダーの侵入を防ぐためには、多角的な対策が必要であり、エンドポイントやネットワーク層への技術的対策に加えて、従業員へのセキュリティ教育の実施といった組織的対策も求められる
ダウンローダー自体は即座に悪意のある活動を行うわけではありませんが、デバイスに侵入した時点で、ユーザーの操作を介さずにランサムウェアなどのマルウェアが自動的にダウンロードされる危険性があります。
そのため、エンドポイントセキュリティの強化が重要です。
アンチウイルスやEDRを活用し、ダウンローダーの侵入を防ぐとともに、万が一侵入を許した場合でも迅速に検知・封じ込めできる体制を整えておくことが求められます。
なお「LANSCOPE サイバープロテクション」では、セキュリティのスペシャリストがお客様に代わってAIアンチウイルスとEDRの運用を行う「Aurora Managed Endpoint Defense」を提供しています。
ダウンローダー対策としてエンドポイントセキュリティを強化したいものの、EDRを運用できる人材がいないといった課題をお持ちの方は、ぜひ「Aurora Managed Endpoint Defense」の活用をご検討ください。
3分で分かる!
Aurora Managed Endpoint Defense
世界トップレベルの専門家が24時間365日監視するMDRサービスについて、製品概要や一般的な製品との比較などをわかりやすく解説します。
おすすめ記事
