進化を続ける脅威:Vidarによる情報窃取の実態
セキュリティを知りたい
「Vidar」って、どんなものか教えてください。
セキュリティ研究家
「Vidar」は、人のパソコンにこっそり入り込んで、クレジットカード番号や大切なファイルなどを盗み出す悪いプログラムのことだよ。2018年から見つかっているんだ。
セキュリティを知りたい
へぇー。どうやってパソコンに侵入してくるんですか?
セキュリティ研究家
怪しいメールや偽物のサイト、違法なソフトを通じて入ってくることが多いよ。特に、本物そっくりに作られたサイトには注意が必要だね!
Vidarとは。
安全性を高めるために、危険なソフトウェア「Vidar」について知りましょう。Vidarは2018年に現れた、情報を盗み出すタイプの悪意のあるソフトウェアです。狙ったコンピューターから、クレジットカード番号やネット上のアカウント情報、ファイル、画面の写真、仮想通貨の財布など、様々な情報を盗み出します。調査によると、この悪意のあるソフトウェアは、違法な情報がやり取りされる闇市場で250米ドルで売られています。だましのメールや、本物そっくりに作られた偽のサイト、違法にコピーされたソフトウェアなどに隠されていて、コンピューターに侵入し、様々な情報を盗みます。今も、より巧妙に、より隠れて活動する方法が開発されていて、ネット広告や宅配便を使った例も確認されています。この悪意のあるソフトウェアは、セキュリティ対策ソフトやシステム管理者に見つからないように、みんなが知っている有名なサービスを中継して悪意のある指示を出すサーバーと繋がる場合があることが分かっています。具体的には、連絡サービス、写真投稿サービス、短い動画投稿サービス、新しいSNS、ゲーム販売サイト、ファイル共有サービスなどが悪用されています。侵入したコンピューターで悪意のあるソフトウェアが動き出すと、攻撃者が作ったこれらのサービスのアカウントにアクセスし、そこから悪意のある指示を出すサーバーと繋がって、情報を盗むなどの悪い動作をします。これらのサービスは、新しいアカウントを簡単に作ることができるので、アカウントを削除されても、攻撃者はすぐに別のアカウントを作って、悪意のある指示を出すサーバーと繋がる中継点として使い続けることができます。また、セキュリティ対策ソフトの安全確認環境だと気づくと、動作を停止することもあります。Vidarは集めたデータを特殊な方法で暗号化し、圧縮してから、悪意のある指示を出すサーバーに送ります。
巧妙化する情報窃取型マルウェア
– 巧妙化する情報窃取型マルウェア2018年に初めてその存在が確認されて以来、「Vidar」という情報窃取型マルウェアは、その手口を巧妙化させながら進化を続けています。クレジットカード情報や各種サービスのアカウント情報といった金銭に直結する情報はもちろんのこと、重要なファイルや画面のスクリーンショット、さらには仮想通貨を保管するデジタルウォレットの内容まで、ありとあらゆる機密情報をパソコンから盗み出すことを目的としています。その危険性の高さから、犯罪者の闇取引の温床となっているダークウェブ上のフォーラムでは、250米ドル、日本円にして約350万円もの高値で取引されているという報告もあるほどです。Vidarの大きな特徴の一つに、感染したパソコンに保存されている情報の種類を、まるでその道のプロであるかのように認識し、選別して盗み出すという機能が挙げられます。例えば、インターネット閲覧ソフトに記憶させているパスワードや、オンラインショッピングサイトで購入履歴、入力フォームに自動入力される氏名や住所といった個人情報など、利用者にとって便利であると同時に、悪用された場合のリスクが非常に高い情報がターゲットとなります。さらに、セキュリティ対策ソフトによる検出を回避するために、自身の姿を隠したり、活動を停止したりする機能も備えているため、発見と駆除が非常に困難なマルウェアと言えるでしょう。Vidarによる被害を防ぐためには、身に覚えのないメールの添付ファイルやリンクは開かない、OSやソフトウェアは常に最新の状態に保つ、信頼できるセキュリティ対策ソフトを導入するといった、基本的な対策を徹底することが重要です。
| マルウェア名 | 概要 | 特徴 | 対策 |
|---|---|---|---|
| Vidar | 2018年に確認された情報窃取型マルウェア。金銭に直結する情報を含むありとあらゆる機密情報を盗み出す。 | 感染したPCに保存されている情報の種別を認識し、重要な情報を窃取する。セキュリティソフトによる検出を回避する機能を持つ。 |
|
主な感染経路
– 主な感染経路インターネット上には、気付かぬうちに危険に晒されている落とし穴が存在します。その代表的なものが、Vidarのような悪意のあるプログラムへの感染を引き起こす、以下の3つの経路です。1. -偽装メール- 見た目は普通のメールと変わらないため、だまされてしまうケースが後を絶ちません。送信元になりすましたメール本文中のURLをクリックしたり、添付ファイルを開いたりしてしまうと、Vidarに感染する危険性があります。特に、請求書や領収書、配送状況など、業務上やり取りする機会の多い内容を装ったメールには注意が必要です。2. -偽のウェブサイト- 一見、信頼できる企業のウェブサイトのように見えても、偽物である可能性があります。特に、ソフトウェアのダウンロードページを装った偽サイトは多く、うっかりアクセスしてしまうとVidarをダウンロードしてしまう危険があります。無料のソフトウェアや海賊版などを安易にダウンロードせず、必ず公式ウェブサイトからダウンロードするようにしましょう。3. -不正なソフトウェア- 海賊版や違法コピーされたソフトウェアは、安価に入手できるという魅力がある一方、Vidarのような悪意のあるプログラムが仕込まれている危険性があります。これらのソフトウェアをインストールしてしまうと、知らず知らずのうちにVidarに感染し、個人情報や機密情報が盗み出されてしまう可能性があります。ソフトウェアは必ず公式な販売元から購入し、セキュリティ対策ソフトを導入して危険から身を守りましょう。これらの感染経路を理解し、日頃から適切な対策を講じることが重要です。
| 感染経路 | 具体的な手口 | 対策 |
|---|---|---|
| 偽装メール | – 実在の企業や組織を装い、メール本文中のURLをクリックさせたり、添付ファイルを開かせたりして、悪意のあるプログラムをダウンロードさせようとする。 – 業務上やり取りする機会の多い内容を装うケースが多い。 |
– 不審なメールは開かない。送信元が本物かどうかを確認する。 – メール本文中のURLは安易にクリックせず、公式ウェブサイトで確認する。 – 出どころの不明な添付ファイルは開かない。 |
| 偽のウェブサイト | – 一見、信頼できる企業のウェブサイトのように見せかけて、悪意のあるプログラムをダウンロードさせようとする。 – ソフトウェアのダウンロードページを装うケースが多い。 |
– 不審なウェブサイトにアクセスしない。URLをよく確認する。 – ソフトウェアは公式ウェブサイトからダウンロードする。 |
| 不正なソフトウェア | – 海賊版や違法コピーされたソフトウェアに、悪意のあるプログラムが仕込まれている。 | – 海賊版や違法コピーされたソフトウェアは使用しない。 – ソフトウェアは公式な販売元から購入する。 – セキュリティ対策ソフトを導入する。 |
Vidarの進化:新たな拡散手法
情報窃取型マルウェア「Vidar」は、その脅威を広げるために、常に拡散の手口を巧妙化させています。最近確認された新たな動きとして、誰もが利用する検索エンジン「Google」の広告サービスを悪用するケースが挙げられます。
Vidar開発者は、一見すると普通の広告に見せかけた悪意のある広告を掲載することで、利用者を騙し、マルウェアをダウンロードさせようと企みます。
また、「Bumblebee」と呼ばれるマルウェア配信のプラットフォームを経由した拡散も確認されています。
これは、攻撃者がより広範囲に、効率的にマルウェアを拡散させることを目的としていると考えられます。
このように、Vidarは私たちの身近なサービスを悪用し、その拡散方法を進化させています。
そのため、利用者は常に最新の注意を払い、怪しい広告やウェブサイトにはアクセスしないよう、普段から心がけることが重要です。
| マルウェア | 拡散手法 | 目的 | 対策 |
|---|---|---|---|
| Vidar | Google広告サービスの悪用 一見普通の広告に見せかけた悪意のある広告を掲載 |
利用者を騙してマルウェアをダウンロードさせる |
|
| Vidar | マルウェア配信プラットフォーム「Bumblebee」を経由 | より広範囲に、効率的にマルウェアを拡散させる |
|
検知回避の手法:SNSを悪用
– 検知回避の手法SNSを悪用近年、Vidarをはじめとする悪意のあるプログラムは、セキュリティ対策をかいくぐるために、誰もが知るようなSNSを利用するようになってきています。これは、従来のセキュリティ対策では検知が難しく、活動を長期的に継続できるという特徴があるためです。従来のセキュリティ対策では、怪しい通信先として知られる場所へのアクセスを遮断することで、悪意のあるプログラムの侵入を防いできました。しかし、SNSは誰もが日常的に利用するサービスであるため、安易に通信を遮断することができません。悪意のあるプログラムはこのようなSNSの特性を巧みに利用し、潜り込もうとしているのです。具体的には、攻撃者はSNS上にアカウントを作成し、そのアカウントを悪意のあるプログラムとの通信拠点として利用します。感染した端末は、一見すると普通のSNSのアカウントとやり取りしているように見えますが、実際には攻撃者からの指示を受け取ったり、盗み出した情報を送信したりしています。さらに、SNSは新規アカウントの作成が容易であるという点も、攻撃者に有利に働いています。仮にセキュリティ対策によってアカウントが凍結されても、すぐに別のアカウントを作成して活動を再開することができるからです。このように、SNSが悪意のあるプログラムの温床となる可能性は高まっており、従来のセキュリティ対策だけでは限界があると言えるでしょう。利用者一人ひとりが、セキュリティ対策ソフトの導入だけでなく、日頃から情報収集を行い、SNSを安全に利用するための意識を高めていくことが重要です。
| 項目 | 内容 |
|---|---|
| 手法 | SNSを悪用した検知回避 |
| 概要 | Vidar等のマルウェアが、セキュリティ対策をかいくぐるためにSNSを利用する。従来のセキュリティ対策では検知が難しく、活動を長期的に継続できる。 |
| 従来の対策の課題 | 怪しい通信先へのアクセス遮断がSNSでは困難 |
| 攻撃の手口 | – 攻撃者がSNS上にアカウントを作成 – 感染した端末と攻撃者のアカウント間で通信を行い、指示の受信や情報の送信を行う |
| 攻撃者に有利な点 | – SNSは新規アカウントの作成が容易 – アカウント凍結されても、すぐに別のアカウントを作成して活動を再開できる |
| 対策 | – セキュリティ対策ソフトの導入 – SNSを安全に利用するための意識向上と情報収集 |
セキュリティ対策の突破
– セキュリティ対策の突破
近年、コンピュータウイルスやマルウェアの巧妙化が進んでおり、セキュリティ対策ソフトをすり抜ける事例も少なくありません。セキュリティ対策ソフトは、怪しいプログラムを実行前に隔離された環境で動作させ、その振る舞いを解析することで、安全性を確認しています。
しかし、Vidarと呼ばれるマルウェアは、自身が解析されていることを検知する機能を備えています。この機能により、Vidarはセキュリティ対策ソフトの解析を回避し、システムへの侵入を成功させてしまいます。
具体的には、Vidarはセキュリティ対策ソフトが構築する解析環境特有の痕跡を検知します。解析環境では、実際のシステム環境とは異なる設定やファイルが存在することがあります。Vidarはこれらの痕跡を検知することで、自身が解析環境で動作していると判断し、活動を停止します。
このように、マルウェアはセキュリティ対策技術の進化に対応するように、日々進化しています。セキュリティ対策ソフトだけに頼らず、常に最新の情報を入手し、適切な対策を講じることが重要です。
| マルウェアの進化 | 対策 |
|---|---|
| コンピュータウイルスやマルウェアの巧妙化により、セキュリティ対策ソフトをすり抜ける事例が増加 | セキュリティ対策ソフトだけに頼らず、常に最新の情報を入手し、適切な対策を講じることが重要 具体的には、OSやソフトウェアのアップデートを最新の状態に保つ、怪しいメールやウェブサイトを開かない、不審なファイルはダウンロードしない、などの対策が有効 |
| Vidarはセキュリティ対策ソフトの解析を回避する機能を搭載 セキュリティ対策ソフトの解析環境特有の痕跡を検知し、解析環境だと判断すると活動を停止 |
セキュリティ対策ソフトのベンダーに問い合わせるなどして、Vidarの検知方法や最新の対策情報を収集する |
情報の転送方法
– 情報の転送方法悪意のあるプログラムVidarは、盗み出した情報を外部に送信する際に、いくつかの巧妙な方法を組み合わせています。まず、盗み出した情報はBase64という方法で符号化されます。Base64符号化とは、情報を英数字や記号のみで表現する方法で、これにより一見しただけでは内容が分からなくなります。さらにVidarは、符号化した情報をZip形式で圧縮します。Zip圧縮は、ファイルのサイズを小さくする一般的な技術であり、これにより情報の送信をより迅速かつ効率的に行うことができます。このようにして隠蔽された情報は、攻撃者が管理する特定のサーバー(C2サーバー)に送信されます。C2サーバーは、攻撃者が遠隔からVidarを操作したり、盗み出した情報を受け取ったりするための中継地点として機能します。Base64符号化とZip圧縮は、どちらも広く利用されている技術ですが、Vidarはこれらの技術を悪用して、盗み出した情報を人目につかずに外部に送信しているのです。
| Vidarによる情報転送の特徴 | 詳細 |
|---|---|
| 符号化 | Base64符号化により、情報を英数字や記号のみで表現し、内容をわかりにくくする |
| 圧縮 | Zip形式で圧縮し、ファイルサイズを小さくすることで、情報送信を迅速化・効率化する |
| 送信先 | 攻撃者が管理するC2サーバーへ送信 |
対策と予防
– 対策と予防昨今、インターネット上には様々な脅威が存在し、知らず知らずのうちに危険にさらされている可能性があります。危険から身を守るためには、自らセキュリティ対策を講じ、未然に脅威を予防することが何よりも重要です。まず、受信した電子メールやウェブサイト上のリンクを安易に開かないように心がけましょう。発信元が不明なものや、内容に不審な点がある場合は、特に注意が必要です。また、普段利用しているウェブサイトとは異なる表示や動作をするウェブサイトには、アクセスしないようにしましょう。ソフトウェアをインストールする際は、公式の提供元からダウンロードするようにしてください。信頼できないサイトからのダウンロードは、ウイルス感染のリスクを高めます。さらに、お使いの機器とソフトウェアは、常に最新の状態を保つようにしましょう。最新の状態を保つことで、セキュリティ上の弱点が悪用されるリスクを減らすことができます。セキュリティ対策ソフトを導入することも有効な手段です。ただし、セキュリティ対策ソフトを導入するだけでは万全とは言えません。セキュリティ対策ソフトはあくまでも補助的なものと捉え、日頃からセキュリティ対策を意識することが重要です。パスワードの管理にも注意が必要です。同じパスワードを使い回すことは避け、複数のサービスで異なるパスワードを設定するようにしましょう。また、パスワードは推測されにくい、複雑なものを設定することが重要です。可能であれば、パスワードの代わりに、二段階認証などの多要素認証を導入することをおすすめします。二段階認証とは、パスワードに加えて、スマートフォンなどに送信される認証コードの入力が必要となる認証方式です。二段階認証を導入することで、不正アクセスを防止する効果を高めることができます。インターネット上の脅威は日々進化しており、その手口も巧妙化しています。そのため、常に最新の情報を入手し、適切なセキュリティ対策を講じることが重要です。
| 対策 | 内容 |
|---|---|
| 不審なメールやリンクを開かない | 発信元不明や内容に不審な点があるメール、リンクは開かない |
| 怪しいウェブサイトにアクセスしない | 普段利用しているサイトと異なる表示や動作をするサイトにはアクセスしない |
| ソフトウェアのインストールは公式から | 信頼できないサイトからのダウンロードはウイルス感染のリスクを高めるため、公式の提供元からダウンロードする |
| 機器とソフトウェアを最新の状態に保つ | 最新の状態を保つことで、セキュリティ上の弱点が悪用されるリスクを減らす |
| セキュリティ対策ソフトを導入する | セキュリティ対策ソフトは補助的なものと捉え、日頃からセキュリティ対策を意識することが重要 |
| パスワードを使い回さない | 複数のサービスで異なるパスワードを設定する |
| 複雑なパスワードを設定する | 推測されにくい、複雑なものを設定する |
| 二段階認証を導入する | パスワードに加えて、スマートフォンなどに送信される認証コードの入力が必要となる認証方式を導入する |