マルウェア
ペイロード
別称: マルウェアペイロード, 攻撃ペイロード
定義
エクスプロイト、マルウェア、攻撃のうち、ファイル暗号化、バックドア設置、データ窃取など実際の悪意ある動作を担う部分。
攻撃側のセキュリティ用語としてのペイロードは、エクスプロイトの成功後や悪意あるファイルが開かれた後に実行され、攻撃者の真の目的を達成するコードやデータを指します。代表例にはリバースシェル、C2 ビーコン、暗号化ツール、インフォスティーラー、キーロガー、ドロッパー、持続化インストーラ、破壊型ワイパーなどがあります。現代の侵害チェーンでは、配送経路(フィッシング、エクスプロイト、ドライブバイ)とペイロードを分離し、ドロッパーやローダーで最終コードをメモリ上にのみ展開することが多くあります。対策としては、EDR、アプリケーション許可リスト、メモリ保護(DEP、ASLR、CFG)、アンチエクスプロイト機能、送信通信のフィルタリング、初期兆候への迅速な対応などが挙げられます。
例
- フィッシング文書実行後、メモリにロードされる Cobalt Strike ビーコン。
- Qakbot ドロッパーが最終段階として配布するランサムウェアの暗号化モジュール。
関連用語
エクスプロイト
脆弱性を悪用して、コード実行・権限昇格・情報漏えいなど意図しない動作を引き起こすコード、データ、または手法。
ドロッパー
標的システム上に別の悪意あるペイロードを「投下」してインストールするマルウェアで、しばしば初期検知を回避してから動作する。
ローダ
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
コマンド&コントロール(C2)
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
ファイルレスマルウェア
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。