TOPNetwork > サイドローディング攻撃とは(前)

Network

サイドローディング攻撃とは(前)

2022/01/04

Michael Hill CSO

 英セキュリティー企業Mimecastは2021年11月、新たなサイドローディングの手法で展開されたマルウエアキャンペーンに関する情報を公開した。「Windows 10」のアプリインストーラー(App Installer)に同年6月に導入された、Webページ上からアプリをインストールできる機能を悪用する手法だった。

Credit: Rikkyal / Getty Images
Credit: Rikkyal / Getty Images

 マルウエア「Trickbot」や「BazarLoader」と同じ攻撃者が関与していたこのマルウエアキャンペーンは、サイドローディング攻撃がもたらす脅威の好例だ。今回の記事では、サイドローディング攻撃の意味、仕組み、企業に及ぼす影響、回避策について見ていく。

サイドローディング攻撃とは

 英セキュリティー企業Netaceaの脅威リサーチ責任者、Matthew Gracey McMinn氏は次のように説明する。「サイドローディングは、要するに、スマートフォンやパソコンなどのデバイスにアプリケーションをインストールすることを指す。ただし、通常のインストールとは重要な違いがある。デバイスのOSの開発元による承認を得ていないアプリケーションをインストールするという点だ」

 英セキュリティー企業Redscanで脅威インテリジェンス責任者を務めるGeorge Glass氏の説明によると、セキュリティーチェックの仕組みが必ずしも働いていないこうしたアプリは、本質的に悪質なアプリの可能性があり、ユーザーは脅威にさらされる。サイドローディングが標準で無効化されているデバイスも多く、その場合はユーザーが明示的に有効化する必要があるが、Windowsは現時点で、サイドローディングがデフォルトで有効になっている。攻撃者は、信頼できる正当なアプリだとユーザーに思い込ませて、不正なアプリのインストールを促す。

 「多くの場合、こうしたアプリケーションのダウンロードを促すために、フィッシングメールやポップアップ広告など、何らかのソーシャルエンジニアリング攻撃が使われている。また、有償ソフトを無料で使えるようにしたクラック版とうたうソフトウエアの中に、悪質なコードが含まれている場合もある」とGlass氏は忠告する。

 最近サイドローディング攻撃での利用が確認されたマルウエアとしては、Macを標的にした「WizardUpdate」がある。Adobe Flash Playerなど、正規のアプリケーションのインストーラーに偽装したマルウエアだ。「当初このアプリケーションは偵察ツールに過ぎず、システム情報を収集してC&Cサーバーに送るだけだった。しかし現在では、macOSのGatekeeperによる防御を回避する機能が組み込まれ、別のマルウエアやアドウエアを読み込んだり、システム設定を変更したりするようになった」

 もちろん、サイドローディングの用途がすべて不正なわけではない。業務に必要なカスタムメイドのアプリを導入している企業は多くある。公式のアプリストアとは別の経路で配布していたとしても、こうしたアプリは正当だ。この種のエコシステムにとって、サイドローディングは不可欠な要素だとGracey McMinn氏は指摘する。

↑ページ先頭へ