ランサムウエア攻撃における初期の侵入経路は、VPN▼機器やRDP▼など外部に公開されたポイントを経由▼することが多い。しかし最近では、「プリカーサーマルウエア(Precursor malware)」を介した感染が目立ってきている。プリカーサーマルウエアとは、感染すると他のマルウエアを呼び寄せるマルウエアである。そこで今回は、プリカーサーマルウエアの実態について解説する。
他の脅威に先駆けて感染
プリカーサーマルウエアの典型といえるのが、広く名前が知られたマルウエアである「Emotet」だ。Emotetはメールやアドレス帳を盗み、それらに含まれる人物になりすまして感染を広げる。このため情報窃取に関心が集まりがちである。
しかしEmotetは情報を窃取すると同時に、他のマルウエアを呼び寄せる(図1)。Emotetが「TrickBot」というマルウエアを呼び寄せ、さらにTrickBotが「Ryuk」というランサムウエアを呼び寄せて感染させた事例が過去に確認されている。
つまりEmotetに感染すると、ランサムウエアにも感染する可能性がある。2022年11月に活動を再開したEmotetの場合、「Bumblebee」や「IcedID」というマルウエアを呼び寄せた事例が確認されている。BumblebeeやIcedIDは、ランサムウエアなどを呼び寄せるマルウエアである。
海外では、ランサムウエアなど他のマルウエアを呼び寄せるこうしたマルウエアを総称して、プリカーサーマルウエアと呼び始めている。プリカーサーは「先駆け」や「前兆」などと訳される▼。つまり「他の脅威に先駆けて感染するマルウエア」という意味だ。
従来、他のマルウエアをダウンロードする類いのマルウエアは、ダウンローダーと呼んでいた。これは「ダウンロードする」というマルウエアの機能や挙動に焦点を当てているためだ。一方、プリカーサーマルウエアという呼び方は脅威の状況に着目している。警戒すべき脅威の前触れという意味であり、脅威が連鎖してやってくる状況に焦点を当てた呼び方といえるだろう。
