クラッキングされたソフトウェアがはらむセキュリティリスク

高価なソフトウェア製品を導入する必要に迫られた際、ついつい気になってしまうのが、ネットでときどき見かける「不自然なほど安価なソフトウェア製品」です。しかし、有名なソフトウェア製品が驚くほど安い値段で購入できると謳ったこれらのサイトは、今さら言うまでもなく違法サイトです。

正規のライセンス価格よりはるかに安価にソフトウェア製品を提供できるのは、本来備わっているはずのコピープロテクトやライセンス認証の仕組みをクラッキングによって不正に回避しているからです。こうしてクラッキングによって改ざんされたソフトウェアを違法と知りつつダウンロードして利用すると、場合によってはユーザーの行為も違法扱いとなり、法的なリスクが生じます。

加えてセキュリティの観点からも、クラッキングされたソフトウェアの利用は大きなリスクをはらんでいます。クラッキングされたソフトウェアを提供しているサイトや業者の背後には、多くの場合サイバー犯罪グループが存在していると言われています。彼らは単に海賊版ソフトウェアの販売によって利益を得るだけでなく、ソフトウェアの中にマルウェアやスパイウェアを仕込み、価格の安さにつられてダウンロードしたユーザーのコンピュータに侵入して情報の窃取を企んでいます。

これらの中には、極めて多くのマルウェアをユーザーのコンピュータに送り込み、さまざまな脆弱性を狙って攻撃を仕掛けるほか、ユーザーのキー操作や画面のスクリーンショットなどを取得してユーザーID/パスワードの窃取を狙うものもあります。こうしたリスクを回避するためにも、明らかにクラッキングされたソフトウェア製品の導入は絶対に避けるべきです。

一度のダウンロードによる感染で多数のペイロードが発生

弊社が運営するSOCでも、攻撃者がこうした手法を用いてユーザーのコンピュータを感染させようとする手口が観測されています。一例を挙げると、とある有名な製品をクラッキングしたソフトウェアをユーザーがダウンロードしてインストールしようとすると、他のペイロードをダウンロード・実行させるためのマルウェアダウンローダーのプログラムが自動的にインストールされます。

このプログラムが実行された直後、「RedLine」と呼ばれる情報窃取系のマルウェアと「Vidar」と呼ばれる情報窃取系マルウェア、さらに別のマルウェアダウンローダーと思われるペイロードが実行されたことが確認されました。さらに翌日には、これら情報窃取系マルウェアのペイロードの実行が再度試みられているのに加えて、新たな情報搾取系マルウェア「CryptBot」が展開されていることも観測しました。

ちなみにCryptBotはVidarやRedLineと同様の情報窃取系マルウェアで、互いに似た機能を備えています。具体的には感染端末上のWebブラウザやメールソフト、FTPアプリケーション、暗号通貨ウォレット、チャットアプリケーションなどから情報を盗んだり、画面のスクリーンショットを撮るなどの機能を持っています。

さらにこのケースでは後に、Facebookの広告データを窃取すると見られるマルウェア「Agent.UAW」や、悪意のあるフリーソフトウェアとして知られる「browzar.exe」、さらにはbrowzar.exeによって別の情報搾取系マルウェアのドロップが確認されるなど、実に多くのペイロードが観測されています。

ダウンロードを絶対に避けるとともに感染を想定した事後対策も

このように、価格の安さに目がくらんでクラッキングされたソフトウェアを不用意にダウンロード・インストールしてしまうと、一気に多くのマルウェアに感染してあの手この手で情報を窃取されてしまう恐れがあります。こうした事態を防ぐためには、まずは何よりクラッキングされたソフトウェアのダウンロードを絶対に避けるよう徹底すべきです。また、もし情報窃取系マルウェアに感染していることが疑われる場合は、関連するユーザーアカウントとパスワードを速やかにリセットして、不正アクセスやなりすまし攻撃の芽をつぶしておくことが大事です。

しかし中には「他の人も使っているから」「どうしてもお金がないから」などの理由から、リスクを承知でクラッキングされたソフトウェアをダウンロードしてしまうユーザーもいるかもしれません。現実的にはこうしたケースを100%確実に回避するのは困難なため、万が一クラッキングされたソフトウェアがダウンロードされて組織内のコンピュータがマルウェア感染してしまったとしても、感染をいち早く検知して原因を除去できる手立てを講じておくことが大事です。

そのための現状で最も有効な手段が、「EDR(Endpoint Detection and Response)」だと言われています。弊社が提供する「Cybereason EDR」は国内で最大級のシェアを誇るEDR製品で、PCやサーバ上でマルウェアが活動を開始した瞬間にその挙動をいち早くキャッチして管理者に通知します。
また弊社では、「NGAV(次世代アンチウイルス)」製品「Cybereason NGAV」も提供しています。
クラッキングされたソフトウェアによる被害を確実に防ぐには、こうした先進的なセキュリティ製品をあらかじめ導入して、万全の備えを講じておくことをぜひお勧めします。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド