概要
ドロッパーとは、それが実行されたとき不正プログラム本体を被害者PC内に「ドロップ」する実行可能ファイルの事をいいます。
ドロッパーには、不正なプログラムであるマルウェアを生成する機能や、インストールする機能を持った物があります。
このドロッパー自体は、マルウェアを産み出すだけで、マルウェア特有の動作を行うわけではありません。
このマルウェア特有の動作が無いため、ウイルス対策ソフトでは検出が難しい場合もあるのです。
そのため多くの場合、ヒューリスティックスキャンと呼ばれる過去の経験に基づいたマルウェア特有の挙動を検出する手法によって検出されます。
ドロッパーは複数のファイルで構成されたマルウェアをインストールする場合にも利用されます。
さらに、ダウンローダーとの組み合わせによって攻撃が行われることもあるのです。
攻撃をより巧妙化したい場合に適している手法と言えるでしょう。
背景と事例
ドロッパーにも、ダウンローダーと同様、多種多様なタイプが存在します。
実行ファイルの他に、スクリプト言語やMicrosoft Office(ワード、エクセル、パワーポイント)や、PDFファイルなども悪用されます。
これらのことから、多くのサイバー攻撃に利用されやすいマルウェアの1つであると言えるでしょう。
ドロッパーの特徴のひとつとして、ダウンローダーなどに比べてファイルサイズが大きいことがあげられます。
これは、不正プログラムのファイルを内包させるためにファイルサイズが大きくなってしまうのです。
そのため、メールの添付ファイルやウェブからのダウンロードなど、ファイルサイズが大きくても怪しまれない手口を利用されることが多くみられるようです。
ドロッバーを利用したStuxnet(スタックスネット)
ドロッパーは、ダウンローダーと異なり、必ずしもインターネットへの接続を必要としません。
この仕組みをうまく利用されたのが、2010年に起こったStuxnet事件です。
これは、USBメモリからドロッパーを実行させ、インターネット未接続の閉鎖環境に設置された制御システムへの攻撃が行われたものでした。
この手口は、外部のネットワークに接続されていない閉鎖的なシステムを目標とした侵入手法として利用され、しばしば国内の大手企業においても確認されています。