近年、インフォスティーラーの被害が増加しており、海賊版ソフトウェアを装って侵入する高度な手口が報告されています。中でも「CountLoader」と「ACRstealer」の組み合わせは、感染から情報流出までを巧妙に隠蔽し、セキュリティソフトでは気づきにくいという特長があります。
初動を誤ってファイル削除や復旧を優先すると、証拠が失われる恐れがあり、被害の範囲や侵入経路がわからなくなるリスクがあります。
そこで本記事では、「CountLoader」と「ACRstealer」の仕組みや感染経路、被害の傾向、正しい確認・対処方法までを専門的な視点からわかりやすく解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
CountLoaderとACRstealerの手口
「CountLoader」は、海賊版ソフトのインストーラなどに偽装されて配布され、侵入後に「ACRstealer」といった本命マルウェアを展開する役割を担います。以下に代表的な挙動を整理します。
CountLoaderとACRstealerの代表的な手口
無料ソフトを装った感染型
Microsoft OfficeやAdobeなどの人気製品を「無料でダウンロードできる」と偽るサイトで、ZIPファイルやインストーラ形式で「CountLoader」が配布されます。これを実行すると端末に侵入し、バックグラウンドで本体マルウェアの展開が始まります。
Pythonプログラムを偽装して侵入
CountLoaderは、正規のPythonアプリケーションのようなファイル構成を持ち、実行時に疑われにくいよう設計されています。そのため、利用者や一部のセキュリティ製品ではマルウェアと判断されにくくなっています。
ACRstealerがRAM上に展開される
展開されたACRstealerは、ディスク上には残らず、メモリ(RAM)上で活動します。この手口により、ファイルベースのスキャンでは検知が困難となります。
ブラウザから資格情報を窃取
ACRstealerは、ChromeやEdgeなどのブラウザに保存されたパスワード・クッキー・オートフィル情報などを標的とします。収集されたデータは暗号化され、C2サーバ(攻撃者の遠隔地サーバ)へ送信されます。
セキュリティソフトによる検知回避
CountLoaderが正規ファイルのように動作し、ACRstealerがメモリ上で展開されるため、EDR(Endpoint Detection and Response)やアンチウイルス製品での検知が難しいという特徴があります。
CountLoaderの感染経路
CountLoaderが侵入する大きな原因は、正規のアプリケーションを装ったファイルを「無料で配布」している海賊版サイトの存在です。これらは、検索エンジン経由やSNS・掲示板から誘導されるケースが多く、正規のダウンロードサイトと見分けがつかないものも存在します。
感染につながる代表的な経路
「無料配布」を装った検索誘導ページ
GoogleやBingなどの検索エンジンで「Office 無料 ダウンロード」「Adobe クラック版」などと検索すると、海賊版サイトが検索結果に混在して表示されます。これらの中には正規風のUIを装ったサイトもあり、ユーザーが誤ってファイルをダウンロードしてしまうリスクがあります。
掲示板やSNSで共有される非公式リンク
一部のオンライン掲示板やSNSでは、「無料で使えるソフトがある」などと紹介される形で、CountLoaderを含んだ不正ファイルが共有されています。これらのリンクからZIPファイルを取得・展開し、実行してしまうことで感染が始まります。
ZIPファイル形式で配布されるインストーラ
感染ファイルは多くの場合、ZIP圧縮形式で配布されています。ZIPファイルの中には、複数のファイルや実行形式(.exe)ファイルが含まれており、「Setup」や「Installer」などの名前で信頼性を偽装します。実行後は裏でCountLoaderが起動し、ACRstealerの展開までが自動的に進みます。
CountLoaderとACRstealerの検知が難しい理由
CountLoaderとACRstealerの組み合わせは、検知を回避するために設計されており、従来のウイルス対策ソフトでは対応が難しい場合があります。以下に代表的な検知回避の特徴をまとめます。
検知が難しい理由
Pythonベースの偽装で正規プログラムに類似
CountLoaderは、Pythonで作られた正規アプリケーションの構造を模倣しており、ファイル名やフォルダ構成も一般的なツールに似せています。このため、静的なファイル検査ではマルウェアと判断されにくい傾向があります。
ACRstealerがRAM上で活動しディスクに残らない
ACRstealerは、メモリ上で直接展開されるため、ウイルス対策ソフトがスキャンするファイルシステム上には痕跡が残りません。このため、RAMのダンプやフォレンジック的なメモリ解析がない限り、発見は非常に困難です。
多段階の実行構造でEDRの挙動検知を回避
CountLoaderは、最初に軽微な処理を行い、後からACRstealerの展開とデータ送信を行う多段階構造を採用しています。EDRは通常、急激なファイル操作や通信などの異常をトリガーとしますが、段階的な動作により検知されにくくなっています。
CountLoader/ACRstealerによる被害と影響
これらのローダーとマルウェアが原因で発生する被害は、情報漏えいにとどまりません。盗まれたデータの二次利用やシステムのハッキング、法人であれば補償費用の発生など、個人法人問わず深刻な影響を及ぼす恐れがあります。
感染によって想定される被害
資格情報の漏えいと不正ログイン
ACRstealerが窃取するのは、ID・パスワードだけではありません。ブラウザの保存データには、社内ポータルやクラウドサービスのログイン情報も含まれることが多く、悪用されると第三者による不正アクセスに繋がります。
業務システムやクラウドアカウントの乗っ取り
Google WorkspaceやMicrosoft 365などの業務用クラウドアカウントに不正アクセスされると、メール送信・ファイル削除・情報閲覧などが自由に行われてしまいます。設定ミスによっては「社外に勝手に共有される」リスクもあります。
社内情報の流出と信用の毀損
商談資料、社内チャット、機密ファイルが外部へ送信された場合、それが取引先や競合の手に渡れば、業務上の信頼は大きく損なわれます。内部資料の扱い方についてのコンプライアンス体制も問われることになります。
顧客への二次被害と補償リスク
盗まれた情報の中に顧客情報が含まれていた場合、なりすましやフィッシング詐欺などに悪用されるケースもあります。企業はその責任を問われ、通知・謝罪・補償といった対応が求められる事態になりかねません。
CountLoader/ACRstealer感染時の対処法
「CountLoader」「ACRstealer」に感染した疑いがある場合、拡大抑止・証拠保全・影響範囲の把握を迅速に行う必要があります。
CountLoader・ACRstealer感染時の対処法
感染端末の隔離
まず、被疑端末をネットワークから隔離し、他の端末への感染拡大を防ぎます。電源を切る前に現状の記録(画面のスクリーンショット、時刻情報など)を取得することが重要です。
手順
- ネットワーク(LAN/Wi-Fi)を切断
- 外部接続デバイス(USB等)を取り外し
- 現状のスクリーンショットやプロセス一覧を取得
ログ・メモリダンプの保全
ACRstealerはメモリ内で動作するため、電源を切ると痕跡が消えてしまう恐れがあります。RAMのダンプ(メモリの内容を保存)や、ログファイル、レジストリ情報などの保全を行うことで、後続の調査が可能になります。
手順
- メモリダンプツールでRAM内容を保存
- ログファイルを別媒体にコピー
- 端末のハッシュ値と保全記録を残す
アクセス経路と影響範囲の特定
感染したファイルの入手経路(例:海賊版サイトなど)や、攻撃者が取得した可能性のある情報(資格情報、認証トークンなど)を明らかにする必要があります。証拠に基づいて正確に特定することで、二次被害や再侵入の防止につながります。
手順
- インストール元ファイルのハッシュ確認
- アクセスログ/通信ログの確認
- 漏えいした情報の洗い出しと通知判断
今回紹介したCountLoaderやACRstealerのようなローダーやマルウェアは、正規のプログラムに偽装し、感染後も目立たないように動作するため、一般的なスキャンでは発見が難しいケースが多くなっています。
証拠が消失する恐れがあるため、感染が疑われた段階での専門的な調査と、確実な保全が被害拡大の抑止につながります。フォレンジック専門調査会社であれば、メモリダンプの解析や、侵入経路・被害範囲の特定、報告書の作成まで一貫して対応可能です。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
CountLoaderやACRstealerといったマルウェアに感染していないか調査するなら、デジタルデータフォレンジックがおすすめです。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
感染後に実施すべき再発防止策
一度でもマルウェアに感染した経験がある場合、再発防止に向けた継続的な取り組みが不可欠です。CountLoaderやACRstealerのような手口は進化しており、従来のセキュリティ対策だけでは不十分なケースもあります。
以下では、感染後に企業が取り組むべき代表的な再発防止策を紹介します。
マルウェア再発防止のための施策
EDR(振る舞い検知)の導入
CountLoaderのようなマルウェアはファイル単体での検知が難しいため、エンドポイントの「挙動」を監視できるEDR(Endpoint Detection and Response)の導入が有効です。未知のマルウェアに対しても、通信・プロセス・ファイル操作などの不審な動きをトリガーにして早期検知できます。
導入ステップ
- 現状のセキュリティ製品との競合性を確認
- 社内PC/サーバに順次展開・ポリシー適用
- 監査ログやアラートの活用体制を整備
ブラウザへのパスワード保存を禁止
ACRstealerの被害は、ユーザーのブラウザに保存された認証情報を盗む点にあります。業務用PCでは、パスワードの自動保存を禁止し、管理はパスワードマネージャや社内ルールで制御する必要があります。
実施ステップ
- ChromeやEdge等のグループポリシーで保存機能を無効化
- 業務ログインはMFA併用・SAMLなどを推奨
- 社内ポリシーにパスワード管理ルールを明記
多要素認証(MFA)の徹底
仮に認証情報が窃取されても、MFA(Multi-Factor Authentication:多要素認証)を導入しておけば、不正ログインを未然に防ぐことができます。SMS、アプリ、物理トークンなど、利用環境に合った手段で設定を徹底しましょう。
導入手順
- 対象サービス(M365/Gsuite/VPN等)を洗い出す
- MFAオプションの有効化・ユーザー通知
- 運用ルールと再設定手順を社内で統一
ZIPファイルの自動展開を制限
感染初期にZIPファイルが媒介されることが多いため、自動展開や不審ファイルの実行を制限する設定も有効です。とくにOutlookやGoogle Workspace経由で受信する添付ファイルには注意が必要です。
推奨設定
- ZIP内実行ファイル(.exeなど)のダウンロード制限
- クラウドストレージ経由の自動開封を無効化
- EDRやメールゲートウェイでのZIPスキャンを強化
定期的なセキュリティ教育の実施
不正なサイトへのアクセスや誤クリックは、多くの場合ヒューマンエラーから始まります。技術的対策とあわせて、社員への教育や訓練も再発防止には欠かせません。
実施ポイント
- 年次/四半期ごとのフィッシング訓練
- 添付ファイルの取り扱い/サイト確認方法のレクチャー
- 教育履歴の管理と受講率の記録
まとめ
一度感染が発覚した企業では、再発防止や外部からの信用回復のためにも、セキュリティ対策の見直しが重要になります。
ログ管理、EDR導入、MFA、教育の4本柱に加え、インシデント対応体制(CSIRT)の設計も重要なポイントです。これらは現場任せでは実現できず、経営層の関与が不可欠です。