現実世界における情報窃取型マルウェアマルウェアの脅威
Hudson Rock(ハドソンロック)の共同創業者であるアロン・ガルは、米国の主要防衛関連企業の従業員や、米陸軍・海軍の関係者、さらにはFBIやGovernment Accountability Officeの職員までもが「実際に感染しており、捜査担当者やサイバーセキュリティ担当者ですら情報が漏洩している」と警告している。ここでいわれる「感染」とは、やはり情報窃取型マルウェアマルウェアのことを指す。さらにハドソンロックの分析によれば、こうした攻撃は標的となるコンピュータ1台あたり、わずか10ドル(約1499円)程度のコストで実行できるという。ガルは「ある時点で、こうした従業員は業務に使うデバイスにマルウェアをダウンロードしてしまったのです。それによって認証情報だけでなく、ブラウザの閲覧履歴、自動入力データ、内部文書、機密アプリケーションのセッションCookieなど、デジタルフットプリント全体が流出した可能性があります」と語る。
情報窃取型マルウェアがサイバー犯罪コミュニティで高い人気を誇る理由は、その低コストだけではない。
その仕組み自体にも要因があるとガルは続ける「従来型のハッキングとは違い、情報窃取型マルウェアは総当たりでネットワークに侵入するのではありません。むしろ従業員がミスを犯すのを待ち、たとえばゲームの改造データや海賊版ソフトのクラック、感染したPDFなどをダウンロードしてしまったタイミングで、一気にあらゆるデータを引き抜くのです」
実際に盗まれる情報の例として、ガルは以下を挙げている。
・軍や防衛関連企業ネットワークへのVPN認証情報
・多要素認証のセッションCookie
・政府や防衛機関のメールログイン情報
・内部開発ツール(GitHub、Jira、Confluenceなど)の認証情報
・保存された文書、ブラウザの自動入力データ、閲覧履歴
ガルは「情報窃取型マルウェアの脅威追跡では、誰が感染しているかを単に特定するだけでなく、流出した認証情報がどうつながっているか、第三者リスクがどこまで広がっているかまで把握する必要があります。もし情報窃取型マルウェアが軍事・産業複合体にまで入り込んでいるなら、他にはいったいどこまで入り込んでいるのでしょうか」と結論づける。
KnowBe4のData-Driven Defence Evangelistであるロジャー・グライムズは、「情報窃取型マルウェアそのものは二次的な問題にすぎません。大事なのは、そもそもどうやって軍のコンピュータに入り込んだか、という初期アクセスの部分です。ソーシャルエンジニアリングなのか、未パッチのソフトウェアなのか、ファームウェアなのか──いずれにしても原因を突き止め対処しなければ、盗まれたパスワード以上の深刻な事態に発展するでしょう」と警告している。
