ダウンローダー【downloader】
概要
マルウェアの感染は一段階で完結するとは限らない。攻撃者はまず小さく検知されにくいプログラムを標的に送り込み、そのプログラムに本命のマルウェアを外部サーバから取得させるという二段階の手順をとることがある。この前段を担うのがダウンローダーで、それ自体はファイルの取得と実行という最低限の機能しか持たない。コードが単純で容量が小さく、セキュリティソフトによる検知を回避しやすい設計になっている。
ダウンローダーが取得する対象は、ランサムウェアやスパイウェア、トロイの木馬、遠隔操作ボットなど様々な種類がある。攻撃者はダウンローダーを一種の汎用的な侵入口として使い、状況や目的に応じて取得するマルウェアを後から切り替えることもできる。取得先となる外部サーバは「C&Cサーバ」(Command and Control Server)と呼ばれる。
ダウンローダー自体の感染経路としては、メールの添付ファイル、悪意あるマクロを含むOffice文書、不正なWebサイトへの誘導(ドライブバイダウンロード)などの例がある。ダウンローダーの有名な事例として「Emotet」があり、感染端末にトロイの木馬やランサムウェアを追加で取得・実行させる手口により世界的な被害をもたらした。
対策としては、メールフィルタリングによる不審な添付ファイルの遮断、オペレーティングシステム(OS)やアプリケーションソフトの脆弱性修正パッチの迅速な適用、エンドポイントセキュリティによる不審なプロセスの検知が有効とされる。また、端末から外部への不審な通信をファイアウォールやプロキシで監視・制限することで、ダウンローダーがC&Cサーバへ接続してマルウェアを取得する段階で食い止められる場合がある。
共有ボタンをタップ