ドロッパー（Dropper）とは、トロイの木馬の一種で、特定のタイミングで他の不正なコードを「ドロップ（投下）」するプログラムです。

ドロッパーがデバイスに侵入すると、ランサムウェアや情報窃取型のマルウェアなど、さまざまなマルウェアがダウンロードされてしまう危険性があります。

このようなリスクを回避するためには、ドロッパーを侵入させないための対策を徹底することが求められます。

本記事では、ドロッパーの種類や特徴、有効な対策などを解説します。

「ドロッパーとは何か」「どのような対策が必要なのか」などを知りたい方はぜひご一読ください。

ドロッパーとは

ドロッパー（Dropper）とは、トロイの木馬型マルウェアの一種で、特定のタイミングで、他の不正なコードを「ドロップ（投下）」する役割を持つプログラムです。

不審なメールの添付ファイルを開いたり、不正なWebサイトのリンクや広告をクリックしたりすると、ドロッパーがデバイスに侵入する可能性があります。

ドロッパーは、それ自体に不正なコードが含まれないケースが多く、感染しただけでは大きな被害は発生しません。

しかし、ドロッパーによってランサムウェアなどのマルウェアがダウンロードされると、深刻な被害を引き起こす可能性があります。

ドロッパーが使用される理由

攻撃者がドロッパーを使用する理由として、アンチウイルスソフトによる検知を回避できる可能性が高いことが挙げられます。

ドロッパーは、それ自体に不正なコードが含まれないケースが多く、検知をすり抜けやすい傾向にあります。

そのため、検知を逃れてデバイスに侵入した後に、ランサムウェアなどのマルウェアをダウンロードして、実行することがあります。

またもう一つの理由として、特定のタイミングで攻撃を実行できる点が挙げられます。

ドロッパーは、「ユーザーが特定の操作を行ったとき」「特定の日時になったとき」など、特定のタイミングで不正なコードをドロップするように設定できます。

この仕組みにより、検知を回避しつつ最も効果的なタイミングでマルウェアをドロップできるため、被害が拡大しやすいという特徴があります。

ドロッパーによる被害を防ぐためには、まずドロッパーをデバイスに侵入させないための対策を徹底する必要があります。

ドロッパーの種類

ドロッパーには、「スタンドアロン型」「ダウンロード型」「ファイルレス型」の3種類があります。

それぞれの特徴を解説します。

スタンドアロン型

スタンドアロン型では、ドロッパーの中にすでに不正なプログラムが組み込まれています。

そのため、デバイスに侵入すると、内部に格納していたマルウェアが即座に展開され、不正活動が始まります。

また、スタンドアロン型は外部との通信を必要としないため、オフライン環境でも動作できるという特徴があります。

ダウンロード型

ダウンロード型ドロッパーは、デバイスに侵入後、 C&Cサーバーに接続して、不正プログラムをダウンロードします。

C&Cサーバーとは、マルウェアに感染したデバイスに対して、遠隔から指令を出したり、制御したりするサーバーのことです。

ダウンロード型のドロッパーは、「ダウンローダー」とも呼ばれます。

​​ダウンローダーは、状況に応じてダウンロードするマルウェアを変更できるため、例えば特定のマルウェアがアンチウイルスソフトによって検知された場合​​、別のマルウェアを試すこと​​で、検知を回避するということも可能です。​

ファイルレス型

ファイルレス型ドロッパーは、ディスク上に目立つファイルを残さずに、メモリ上でのみ動作するため、検知が特に難しい傾向があります。

従来のアンチウイルスソフトは、ハードディスク上で実行されるファイルを解析し、「脅威であるか」を判定する仕組みを採用しています。

しかしファイルレスマルウェアの場合は、そもそもディスク上にファイルが存在しないため、検知することが非常に困難です。

ドロッパーの特徴

ドロッパーの最大の特徴は、検知が非常に困難な点です。

ドロッパーは、不審なプログラムを実際に動作させて解析する「サンドボックス」環境でも、検知をすり抜ける可能性があります。

これは、サンドボックスのような仮想環境で実行されていることを検知すると、一時的に動作を停止し、検知を逃れようとするドロッパーの特性によるものです。

また、ファイルレス型ドロッパーはディスク上に実行ファイルを残さず、メモリ上でのみコードを展開して実行します。

従来のアンチウイルス製品では、主にディスク上のファイルをスキャンし、既知のシグネチャと照合することで脅威を検出する仕組みを採用しているため、ディスクに痕跡を残さないファイルレス型のドロッパーは検知が極めて困難です。

さらに、ドロッパーには「多段階攻撃が可能」という特徴もあります。

ダウンロード型のドロッパーは、侵入後にシステム内に潜伏し、最初は情報窃取型のマルウェア、次にランサムウェアのように、段階的にマルウェアをダウンロードすることが可能です。

このように複数の段階に分けて攻撃を行うことで、攻撃の検知や発覚が遅れ、結果として被害が拡大する恐れがあります。

ドロッパーへの対策

前述の通り、ドロッパーによる被害を防ぐためには、まずデバイスへの侵入を防止する対策を講じることが重要です。

ドロッパーの侵入対策に有効な方法としては、以下が挙げられます。

これらの対策を実施することで、ドロッパーの侵入やマルウェア感染を防止できるようになります。

さまざまなマルウェアがダウンロードされるのを防ぐためにも、対策を徹底しましょう。

高精度なアンチウイルスの導入

前述の通り、ドロッパーには以下のような厄介な特徴があります。

このような特徴から、従来のパターンマッチング方式のアンチウイルスでは検知が困難です。

そのため、定義ファイルに依存しない高精度なアンチウイルスの導入が求められます。

特に、未知や変異型のマルウェアにも対応可能な、​​AI・機械学習を活用したアンチウイルスが推奨されます。

メールセキュリティ製品の導入

ドロッパーは、メールの添付ファイルを経由して侵入するケースが多いため、メールのセキュリティを強化できる製品を導入することも有効です。

メールセキュリティ製品には、主に以下のような機能が搭載されています。

このようなセキュリティソリューションを導入することで、メール経由によるドロッパー感染のリスクを大幅に低減できます。

OS・ソフトウェアの最新化

OSやソフトウェアの更新を怠り、脆弱性が放置された状態のまま使用していると、ドロッパーが侵入するリスクが高まります。

そのため、セキュリティパッチがリリースされたら迅速に適用し、常に最新の状態を保つことが重要です。

また、パッチの適用漏れを防ぐためには、専用の管理ツールを導入し、管理業務を自動化することが推奨されます。

ツールを導入することで、担当者の更新作業の負担を軽減しつつ、パッチの適用漏れを防ぐことができます。

ネットワーク監視の実施

​​ダウンロード型のドロッパーは、 C&Cサーバーと通信してマルウェアをダウンロード​​する仕組みを持つため、ネットワークレベルでの対策も行う必要があります。

具体的に対策としては、IDS/IPS、NDRといったネットワーク監視ソリューションの導入が挙げられます。

MOTEXでは、ネットワーク全体の通信状況を可視化し、ランサムウェア攻撃などの異常な挙動を検知・素早く侵入へ対処できる、NDR「Darktrace（ダークトレース）」を提供しています。

従業員へのセキュリティ教育の実施

​どれほど高精度なセキュリティソリューションや仕組みを導入しても、​従業員のセキュリティ意識が低ければ、ドロッパーへの感染リスクを完全に排除することはできません。

そのため企業・組織は、従業員へのセキュリティ教育を継続的に実施し、ドロッパーをはじめとしたマルウェアの危険性や、「不審なメールに添付されているファイルを安易に開かない」「信頼できないWebサイトは閲覧しない」といった基本的な対策を周知・徹底する必要があります。

また、フィッシング攻撃を想定した実践的な訓練やテストを定期的に実施し、従業員の意識を高める取り組みも効果的です。​

セキュリティ意識の向上と高精度なソリューション・仕組みを組み合わせることで、強固なセキュリティ対策を構築することができます。

未知・変異型のマルウェア対策に「LANSCOPE サイバープロテクション」

前述の通り、ドロッパーが仕掛けるマルウェアへの対策には、従来のパターンマッチング方式のアンチウイルスでは十分とは言えません。

そのため、定義ファイルに依存しない高精度なアンチウイルスの導入が求められます。

特に、未知や変異型のマルウェアに対策するには、​​AI・機械学習を活用した次世代型アンチウイルスの導入が有効です。

本記事では、攻撃者が作成したばかりの、まだ使われていないマルウェアであっても、ファイルの特徴から判定し、高い検知率で企業をセキュリティリスクから守るAIアンチウイルス「LANSCOPE サイバープロテクション」を紹介します。

「LANSCOPE サイバープロテクション」では、未知のマルウェア検知・ブロックに対応する、2種類のAIアンチウイルスを提供しています。

それぞれの特徴を解説します。

アンチウイルス✕EDR✕監視サービスをセットで利用可能な「Aurora Managed Endpoint Defense」

「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense （旧：CylanceMDR）」を提供しています。

「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。

高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。

「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。 

セキュリティのスペシャリストが徹底したアラート管理を行うため、お客様にとって本当に必要なアラートのみを厳選して通知することが可能になり、不要なアラートに対応する必要がなくなります。

また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。

「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。 

各種ファイル・デバイスに対策できるNGAV「Deep Instinct」

「LANSCOPE サイバープロテクション」では、 AI（ディープラーニング）を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。

下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99％以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※

近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。

「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。

「Deep Instinct」は、手頃な価格設定も魅力です。詳細は以下よりご覧ください。
※Unit221B社調べ

3分で分かる！
LANSCOPE サイバープロテクション

2種類の次世代AIアンチウイルスを提供する「LANSCOPE サイバープロテクション」について、ラインナップと特長を紹介します。

資料をダウンロードする

まとめ

本記事では「ドロッパー」をテーマに、その概要や有効な対策などを解説しました。

ドロッパーの侵入を防ぐ対策として、「高精度なアンチウイルスの導入」「メールセキュリティ製品の導入」「OS・ソフトウェアの最新化」「ネットワーク監視の実施」「従業員へのセキュリティ教育の実施」などが挙げられる

ドロッパー自体は高い攻撃力を持たないものの、一度デバイスに侵入されてしまうと、次々とマルウェアがダウンロードされる危険性があります。

そのため、本記事で紹介したような「ドロッパーの侵入を防ぐ」対策を徹底することが重要です。

「LANSCOPE サイバープロテクション」では、未知のマルウェア検知・ブロックに対応する2種類のAIアンチウイルスを提供しています。

マルウェアは、近年ますます高度化・巧妙化しており、被害の規模も拡大傾向にあります。

セキュリティ強化を目指す企業・組織の方は、ぜひ「LANSCOPE サイバープロテクション」を活用し、堅牢なセキュリティ体制の構築を目指してください。

3分で分かる！
LANSCOPE サイバープロテクション

2種類の次世代AIアンチウイルスを提供する「LANSCOPE サイバープロテクション」について、ラインナップと特長を紹介します。

資料をダウンロードする