【脅威アクター解説】RedLine Stealerとは？情報を盗むマルウェアの手口と被害の実態

AIの進化とともに、新たなセキュリティのリスクが増えており、さらなる防御力が求められています。防御を強化する際、押さえておきたいのが脅威アクターの情報です。彼らが用いる攻撃手法を知ることで、有効な対策を講じることが可能になります。

そこで本連載では、フォーティネットの「Threat Actor Encyclopedia」から、特に注目すべき脅威アクターの情報をお届けします。今回は、インフォスティーラー「RedLine Stealer」を紹介します。

RedLine Stealerとは何か？特徴と活動の概要

RedLine Stealerはコモディティ型のマルウェアです。アンダーグラウンドフォーラムやTelegram、WhatsAppなどのさまざまなチャットアプリを通じて、通常100～150米ドルで販売され、MaaS（Malware-as-a-Service）のビジネスモデルで運営されています。このマルウェアは、.NETで作成されたものであり、2020年に初めて確認されました。

RedLine Stealerは、感染したデバイスから以下のような機密情報を収集するように設計されています。

保存された認証情報
クレジットカード情報
暗号資産ウォレット
オートコンプリート（自動入力）データ
Cookie
Discord、Steam、FileZilla、Eメールクライアント、IMクライアント、パスワードマネージャーなど、複数のプログラムからのデータ

RedLine StealerのアップデートにはRAT機能も含まれており、ファイルのアップロードやダウンロード、コマンドの実行が可能になっています。このマルウェアファミリーは通常、独自のC2サーバーを使用しますが、亜種の一部では正規の発信トラフィックに見せかける目的で、GitHubなどの公開リポジトリを使用するケースも確認されています。

Redline Stealerの最新バージョンは、Luaバイトコードを活用して悪意ある文字列を難読化し、セキュリティツールによる検知を回避することで、ステルス性の高い活動を可能にしています。

どう感染する？流通経路と攻撃の仕組み

RedLine Stealerは、安価に入手できるMaaSとして提供されているため、多くの攻撃者によって広範囲にばらまかれる傾向がある。

Redline Stelaerは、Malware-as-a-Service（MaaS）として提供されている性質上、日本を含むどの国のどの組織もターゲットになりえます。

安価なサブスクリプションモデルにより、脅威アクターは手軽に利用権を購入でき、侵入したネットワーク内でこのインフォスティーラー（情報搾取型マルウェア）を用いて認証情報をはじめとする多種多様な情報を盗み出すことが可能になっています。

どんな被害が起きる？情報流出と二次被害のリスク

RedLine Stealerによって盗まれた情報は、さらなる攻撃や不正アクセスの足掛かりとして悪用される。

流出した情報は、その脅威アクター自身がさらなる攻撃のために使用するか、ダークウェブ上で販売され、別の攻撃グループに侵害されたネットワークにアクセスを提供します。特に管理者権限などの高いアクセス権限が盗まれた場合、組織全体の掌握や大規模なデータ流出、さらには基幹システムの破壊といった取り返しのつかない事態に直結します。

個人も標的になる？日本への影響と注意点

RedLine Stealerは企業だけでなく、個人ユーザーも無差別に狙うマルウェアである。

また、Redline Stealerは暗号資産等を盗む機能もあるため、個人の誰もが無差別な標的になりえる、という側面も持っています。もし感染した個人の機器に機密情報やパスワードの使いまわし、趣味、交友関係等の情報が含まれていた場合、それが結果としてその個人の所属する組織を攻撃する足掛かりとなる場合があります。

特定の標的を執念深く狙う国家をバックにしたAPTグループとは異なり、「誰でも、安価に、広範囲を標的にする」というコモディティ化された脅威としての恐ろしさが、Redline Stealerには備わっています。