ドロッパー どろっぱー
マルウェア不正プログラムペイロードサイバー攻撃ステルスローダー
ドロッパーについて教えて
ドロッパーとは
ドロッパー(Dropper) とは、コンピューターに侵入した後、内部に埋め込まれた別のマルウェア(ペイロード)を展開・実行することを目的とした悪意あるプログラムのことです。「ドロップ(drop)=投下する」という名前のとおり、本命の攻撃コードを「落とし込む」役割を担います。
ドロッパー自体は一見すると普通のファイル(PDFや請求書に偽装したExcelファイル、インストーラーなど)に見えることが多く、セキュリティソフトによる検出を回避しやすい点が特徴です。ユーザーがファイルを開いた瞬間に、裏でランサムウェアやバックドア、スパイウェアなどをひっそりと仕込みます。
企業へのサイバー攻撃では、最初の侵入口(初期侵害)として使われるケースが非常に多く、攻撃の「入口」として重要な役割を果たします。「迷惑メールの添付ファイルを開いたらウイルスに感染した」という被害のほとんどは、このドロッパーが関係していると言っても過言ではありません。
ドロッパーの仕組みと種類
ドロッパーが動く流れ
ユーザーがファイルを開く
↓
ドロッパーが起動(無害に見える)
↓
セキュリティソフトの検出を回避しながら
↓
ペイロード(本命マルウェア)を
・メモリ上に展開 または
・ディスクに書き込んで実行
↓
攻撃開始(ランサムウェア / バックドア など)主なドロッパーの分類
| 種別 | 特徴 | 代表例 |
|---|---|---|
| ファイル型ドロッパー | ペイロードをディスクに書き出して実行する | Emotet(初期段階) |
| メモリ型ドロッパー(ファイルレス) | ディスクに書かず、メモリ上だけで動作。検出が極めて困難 | Powershell系マルウェア |
| ローダー型 | 外部サーバーからペイロードをダウンロードしてくる(ドロッパーに近い概念) | IcedID, Qbot |
| マクロ型 | OfficeファイルのマクロVBAを悪用する | Emotet(メール添付) |
覚え方
「ドロッパーは宅配便の偽物」 と覚えよう!
荷物(ドロッパー)は普通のダンボールに見えるが、中身は爆弾(ペイロード)。届いた瞬間に中身が飛び出す仕組みです。
歴史と背景
- 1990年代: コンピューターウイルスの黎明期。単純な自己複製型ウイルスが主流で、ドロッパーの概念はまだ薄かった
- 2000年代: メール添付ファイルによる感染が急増。ドロッパー型のマルウェアが登場し始める
- 2010年代前半: 標的型攻撃(APT)でドロッパーが多用されるように。Officeのマクロを悪用した手口が急増
- 2014年〜: Emotet が登場。ドロッパーとして他のマルウェアを配布する「マルウェア配布プラットフォーム」として猛威を振るう
- 2017年以降: ファイルレス型(メモリ上だけで動作)のドロッパーが増加し、従来のウイルス対策では検出が困難に
- 2020年代: ランサムウェア攻撃の初期侵害としてドロッパーが定番化。BEC(ビジネスメール詐欺)とも連携した高度な攻撃が増加
ドロッパー・ローダー・ウイルスの違い
似た概念が多いので、整理してみましょう。
実務での注意点
実際の攻撃では、ドロッパー・ローダー・ウイルスが組み合わせて使われることがほとんどです。たとえば「Emotet(ドロッパー)→ TrickBot(ローダー)→ Ryuk(ランサムウェア)」という多段階の攻撃連鎖が2020年前後に猛威を振るいました。
関連する規格・RFC
※ ドロッパーはマルウェアの分類概念であり、標準化された規格・RFCは存在しません。ただし、関連する脅威インテリジェンスの分類として以下が参考になります。
| 参照資料 | 内容 |
|---|---|
| MITRE ATT&CK T1587.001 | ドロッパー開発に関する攻撃者TTPs(戦術・技術・手順)の定義 |
| MITRE ATT&CK T1027 | ペイロード難読化・検出回避技術の分類 |