Malwarebytesは2023年12月27日(現地時間)、サイバー攻撃犯が攻撃を実行する際に侵害作業を隠蔽する手口について解説した文書を発表した。

〇暗号化しない

ランサムウェア攻撃では通常はファイルの暗号化を行うが、セキュリティソリューションが暗号化を検出しても手遅れのケースが多い。しかし、一部の攻撃者は検出を誘発しないように暗号化処理を行わず、データの窃取のみを実行することがある。

また、攻撃者は侵入を試みる際にフィッシングメールを送信し、内部の人員がマルウェアを開いて感染するのを待つ。感染してからマルウェアが検出されて対策されるまでの時間は短いため、攻撃者はできるかぎり検出を遅らせるようにふるまう。

〇マルウェアを使わない

マルウェアは検出されるリスクがあるため、マルウェアを使わず、脆弱性を悪用したり、有効な認証情報を入手したりして侵入することがある。侵入後もマルウェアは使用せず、システムからデータを窃取する。このような攻撃手法は「LOTL: Living Off The Land」と呼ばれる。

〇ファイルレスマルウェアの利用、署名付きドライバの悪用

標的の環境に保存しない「ファイルレスマルウェア」を利用する方法。メモリにマルウェアを直接展開して実行する手法であり、実行後に痕跡を環境に残さないように行う。さらに一歩進んだ手法として、セキュリティソリューションを無効化する攻撃手法も開発された模様。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文