今さら聞けない！情報窃取型マルウェアの内部動作とJSOCの検
知傾向 | LAC WATCH
By サイバー救急センター
Published: 2022-03-07 · Archived: 2026-04-05 18:35:35 UTC
サイバー救急センターの脅威分析チームです。
根強い脅威である情報窃取型マルウェア（InfoStealer）に関して、JSOCにおける検知傾向とマルウェア
動作を調査しました。
情報窃取型マルウェアとは、Webブラウザなどのソフトウェアに保存された認証情報やキーストローク
情報の窃取を主目的としたマルウェアのことです。もし感染すると、窃取されたユーザの認証情報が
悪用されて被害に遭ってしまう恐れがあります。
なお、広義にはバンキングマルウェアやEmotetについても情報窃取型マルウェアとして分類されます
が、本稿ではこれらを除いた、システムに設定済みの情報の窃取を目的とするマルウェア（AgentTesla
やFormBookなど）を取り上げます。以降では、このようなマルウェアを総称して「情報窃取型マルウ
ェア」と呼びます。
情報窃取型マルウェアは継続的に日本国内に届いている一方で、既存の製品によって検知されること
が多く、その背景やマルウェアの動作などを詳細に知る機会がないまま対応している方も多いのでは
ないでしょうか。そこで、具体的に情報窃取型マルウェアの種類や動作を解説し、対策についてもお
伝えします。
目次
1. 情報窃取型マルウェアの検知傾向
2. 感染までの流れ
3. 情報窃取型マルウェアの種類
4. 被害に遭わないための対策
5. ラックが提供するサービス
6. まとめ
7. IOC（Indicator Of Compromised）
情報窃取型マルウェアの検知傾向
まずは、JSOCにおける情報窃取型マルウェアの検知傾向についてです。2021年においてJSOCで検知し
たマルウェア感染を目的とした攻撃メール（以下、攻撃メール）の割合を集計※1すると、図1の通りと
なりました。
※1 検知ルールから判断できなかったマルウェアは集計の対象外としています。
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 1 of 14

図1 2021年にJSOCで検知した攻撃メールの割合
（左：すべての攻撃メール、右：日本語の件名のみ）
図1の左のグラフは、2021年にJSOCで検知した攻撃メールの割合で、グラフの太字のマルウェアが情報
窃取型マルウェアであることを表しています。このグラフでは、AgentTesla、FormBook、XLoaderの順
で検知割合が多いことがわかります。LokiBotやSnake Keyloggerなどを含めると、情報窃取型マルウェ
アは全体で約66%となり、検知の半数以上を占めているといえます。また、2020年後半に新たに報告さ
れた情報窃取型マルウェアであるSnake Keyloggerも検知率が3%に上っており、今後も攻撃に使用され
ることが予想されます。
一方、図1の右のグラフは2021年にJSOCで検知した日本語の件名における攻撃メールの割合です。
Emotetが最も多く、続いてQakbot、情報窃取型マルウェアの順で検知していました。
最多のEmotetは、感染したPCから窃取したメールを攻撃で使用することで次々と感染が拡大し、その
結果攻撃メールの検知数が急増するという性質があります。一度テイクダウンされたEmotetですが、
2021年11月から活動を再開しており、その攻撃手口からみても今後も日本語のメールでの検知数は多
い状況が続くとみられます。Emotetに関してはラックでも注意喚起を行いました。
二番目に多いQakbotは、Emotetと同様の手法を用いて取引先や同僚を装ったメールを送りつけることで
感染拡大を図るマルウェアです。QakbotにPCが感染した場合、インターネットバンキングの認証情報
が窃取されたり、メールが窃取されて攻撃に悪用されたりします。Qakbotの攻撃メールの特徴として
は、件名が日本語であるものの、本文で英語が使用されていることが多く、Emotetと比べると誤って開
封してしまう可能性は低いと推測されます。しかしながら、年間を通して攻撃メールが観測されてい
る点に注意が必要です。
三番目に多くの割合を占めるのは、情報窃取型マルウェアです。検知割合でみれば約21%を占めてお
り、日本語メールにおいても無視できない存在であることがわかります。攻撃メールは、請求書や見
積もり依頼などを騙ったものが多く、稚拙な文を使用することもあれば、攻撃メールとしての体をな
したものもあり、内容によっては受信者が開いてしまう可能性も十分考えられます。
以上のように、情報窃取型マルウェアは軽視できない割合で検知しており、根強い存在であることが
わかります。また、感染までの流れが複雑であるため、対策を講じる上で一度全体像を理解しておく
ことが望ましいです。
感染までの流れ
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 2 of 14

情報窃取型マルウェアに感染する経路のひとつとしてメールがあります。図2に実際に攻撃に使用され
たメールの例を示します。メールの文面は英語であることが多いものの、図2のように日本語が使われ
ることもあります。いずれの言語の場合でもメールの文面は請求書や支払いの確認、見積もりの依頼
などの内容を装っており、受信者に添付ファイルや本文に記載のURLリンクを開かせようと誘導しま
す。
図2 攻撃に使用されたメールの例
添付ファイルの場合は不正なファイルが展開・実行すると感染を引き起こします。また、URLリンク
を開いた場合は添付ファイルの場合と同様の不正なファイルがダウンロードされます。不正なファイ
ルの形式としては、実行ファイル（exe）、ドキュメント（docx、xlsxなど）、その他のファイル（js、
lnkなど）と、これらのファイルを内包した圧縮ファイル（zip、7-zip、rarなど）やISOイメージなど、
様々な種類の形式を確認しています。
現在までに多く観測している感染までの流れを整理したものが次の図3です。やや複雑ですが、URLリ
ンクや圧縮ファイル等の場合でも、最終的に実行ファイルもしくはドキュメントを起点として情報窃
取型マルウェアに感染することがわかります。
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 3 of 14

図3 情報窃取型マルウェアに感染するまでの流れ
実行ファイルが使用されるケースでは、実行ファイル自体が情報窃取型マルウェア本体である場合
と、実行ファイルがGuLoader（別名：CloudEyE）と呼ばれるダウンローダである場合があります。前
者は実行すると直接感染を引き起こす一方で、後者はGuLoaderが情報窃取型マルウェアをダウンロー
ドして感染を引き起こします。
他方、ドキュメントが使用されるケースでは、マクロ付きのドキュメントとOffice製品の脆弱性（CVE-2017-11822やCVE-2017-0199など）を悪用したドキュメントの2種類が存在します。これらのドキュメ
ントの不正なコードが動作すると、情報窃取型マルウェアがダウンロードされて感染する、または、
GuLoaderを経由して多段階で情報窃取型マルウェアがダウンロードされて感染します。
情報窃取型マルウェアをダウンロードする通信先は、GoogleドライブやOneDrive、Discordが使われる
ケースを確認しています。このように正規サービスを悪用することは、検知や遮断を回避する狙いが
あるものとみられ、攻撃者たちの手口は巧妙化していることが窺えます。
なお、JSOCによる検知としては明確に確認できなかったものの、海外のサンドボックスサービスにお
いてGuLoaderの代わりにModiLoaderと呼ばれるダウンローダが使用されるケースがあることを確認し
ています。脅威分析チームの調査では、ModiLoaderの観測数はGuLoaderと比べると少なく、現在は
GuLoaderが主流であるものと考えられます。
情報窃取型マルウェアの種類
情報窃取型マルウェアにはさまざまな種類があります。ここではJSOCの検知において多く確認してい
る情報窃取型マルウェアである、AgentTesla、FormBook/XLoader、LokiBotの特徴について解説しま
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 4 of 14

す。これらのマルウェアは、ハッキングフォーラムなどで安価で販売、または、無料でビルダー等を
ダウンロードできるため攻撃に使用されやすい傾向があります。
AgentTesla
AgentTeslaは、2014年に発見された情報窃取を主目的とするマルウェアです。このマルウェアに感染す
ると、Webブラウザやメールクライアント、FTPクライアントなどの認証情報、クリップボードやスク
リーンショット、キーストロークなどの情報が攻撃者に窃取される可能性があります。ただし、
AgentTeslaは、一般的なRATにあるような高度なコマンド＆コントロール機能を有していないため、通
常は感染PCからサーバへの窃取情報の送信のみを行います。
AgentTeslaの特徴として、通信方式の多様性が挙げられます。AgentTeslaは、HTTPを使用する方法のほ
かに、SMTPやFTP、Telegramチャット、Torプロキシを使用して感染PC内の情報を攻撃者のもとへ送る
ことができます。例えば、FTPを使用してファイルをFTPサーバにアップロードしたり、Telegramボッ
トAPIを使用してチャットにデータを送信したりすることが可能です。なお、AgentTeslaがどの通信方
式を用いるかはAgentTeslaの設定値によって変わり、一度に複数の通信方式を使用することはありませ
ん。このため、通信方式は検体ごとに確認する必要があります。なお、AgentTeslaの設定値は、HTTP
の場合は"0"、SMTPの場合は"1"、FTPの場合は"2"、Telegramの場合は"3"です。
図4 AgentTeslaの全体像
また、特筆すべき点として、AgentTeslaがv2とv3の2種類に大別できるという点が挙げられます※2。
AgentTeslaはバージョンによって内部データの保持方法や有する機能が異なります。例えば、v2が通信
先情報やデータ送信時に使用する文字列をAESで暗号化した状態で保持しているのに対し、v3では
XORで文字列を暗号化した状態で保持しています（図5）。また、上述したTelegramやTorプロキシを使
用した通信方式はv3でのみ実装されている機能です。
※2 Agent Tesla amps up information stealing attacks
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 5 of 14

図5 AgentTeslaのv2とv3の暗号化処理の違い
（上：AgentTesla v2、下：AgentTesla v3）
以上の観点から、JSOCにおいて検知したAgentTeslaに関して分析すると、v3の使用が多くみられ、通信
方式としてはSMTPが多い傾向にあるということがわかりました。その一方で、Telegramなどの他の通
信方式が設定されているケースも少なからず存在しており、実際の攻撃においても通信に多様性があ
るといえます。また、AgentTeslaに関する攻撃メールの検知数は、2021年6月から増加傾向にあり、
2022年においても根強く検知している状況です。
最後に、最も使用頻度の多い通信方式であるSMTPについて解説します。通信方式がSMTPの場合は、
AgentTesla内の暗号化データに含まれるメールアカウント情報（メールアドレス、パスワード、SMTP
サーバのドメイン名）を用いて、図6のコードで窃取した情報をメールで送信します。
図6 窃取データを送信するコード（AgentTesla v3）
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 6 of 14

また、メール送信時の通信例は図7の通りです。このように送信時の通信では587番ポートを介して
SMTP認証を行い、窃取情報をHTML形式のメールで送信します。なお、メールの宛先は、認証したメ
ールアカウントのメールアドレスがそのまま使用されるケースや、認証したメールアカウントとは別
に設定された宛先用のメールアドレスが使用されるケースがあることを確認しています。このように
して窃取されたデータが一方向にメールで送信されます。
図7 窃取データを送信する通信例（AgentTesla v3）
FormBook/XLoader
FormBookは、2016年に発見された情報窃取を主目的とするマルウェアです。このマルウェアは、Web
ブラウザやメールクライアント、FTPクライアントの認証情報をはじめ、クリップボード情報やキース
トロークの窃取、画面キャプチャ、コマンド＆コントロールの機能を備えています。そのため、感染
すると機微な情報が窃取されたり、攻撃者によってPCをリモートコントロールされたりします。
図8 FormBook/XLoaderの全体像
2016年から蔓延するFormBookですが、2020年になって後継のマルウェアと考えられる「XLoader」が登
場しました※3。XLoaderは、フォーラム上で販売の宣伝が行われ、既に日本組織への攻撃に使用されて
います。機能面でみれば、コードはFormBookと類似しており、大きな相違はみられません。その一方
で、C2通信時に使用する特徴的な文字列やバージョン体系などが異なるという特徴があります（図
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 7 of 14

9）。また、XLoaderはクロスプラットフォームへのサポートを謳っており、macOSでの動作を可能と
する種別が存在します。
※3 Top prevalent malware with a thousand campaigns migrates to macOS
図9 FormBookとXLoaderの識別箇所
（左：FormBook 4.1、右：XLoader 2.3）
FormBookとXLoaderは、いずれも通信をHTTPで行い、GETメソッドとPOSTメソッドを使用します。通
常は、最初の通信にGETメソッド、窃取データの送信にPOSTメソッド（図10）を用います。送信され
るデータはBase64エンコードとRC4によって暗号化されており、鍵の一部がマルウェア内に保持されて
います。なお、通信時は、どちらのマルウェアも偽の通信先を複数ハードコードしているため、C2サ
ーバではない通信先への通信が発生します。このためC2通信先が一見分かりづらく、通信先の遮断に
は注意が必要です。
図10 C2通信の例
（左：FormBook、右：XLoader）
上述の通り、FormBookもXLoaderもコマンド＆コントロールの機能を有しています。これにより、通信
を行うことでC2サーバからコマンドを受け取るという動作が可能です。マルウェアがサーバから受け
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 8 of 14

取るコマンドを表1に示します。これらのコマンドは、サーバからの「200 OK」のレスポンスにおいて
ボディに記載されて受け渡されます。C2コマンドの機能として、コマンド実行やダウンロード＆実行
の動作が可能なことから、情報窃取以外の目的で使われる可能性も考えられます。
表1 C2コマンド一覧
JSOCにおける最近の検知傾向としては、FormBookとXLoader共に日本国内の組織にも届いている状況
でFormBookの勢いも未だに落ちていません。国内の攻撃で用いられた検体は、FormBookに関してはバ
ージョン4.1、XLoaderに関しては2021年9月中旬まで2.3が利用され、それ以降は2.5系が利用されている
傾向にあります。なお、macOS版のXLoaderは、JSOCでの検知はありませんでした。
LokiBot
LokiBotは、2015年に発見された情報窃取を主目的とするマルウェアです。他の情報窃取型マルウェア
と同様に、各種アプリケーションの認証情報の窃取機能や画面キャプチャ機能、キーロガー機能、コ
マンド&コントロール機能を有すとされており、感染した場合は機微な情報の窃取や感染PCが攻撃者
にリモートコントロールされる可能性があります。また、他の情報窃取型マルウェアと比べると窃取
対象とするアプリケーションが多いという特徴もあります。
図11 LokiBotの全体像
LokiBotのC2通信は、図12の通りHTTPを使用します。通信の特徴として、パスに「fre.php」を使用する
ことや、User-Agentに「Mozilla/4.08 (Charon; Inferno)」を使用することなどが挙げられ、比較的識別し
やすいマルウェアといえます。また、詳細は後述しますが、多くの場合はHTTPボディのデータに
「ckav[.]ru」が含まれていることも特徴のひとつです。
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 9 of 14

図12 通信例
LokiBotが発生させるリクエストには、窃取データの送信とC2コマンド要求の2種類があります。後者
のC2コマンド要求の通信はデフォルト設定では10分ごとに発生します。このときC2サーバからの受け
取る命令は、表2に示すものがあります。
表2 C2コマンド一覧
興味深いことに、世界的に流通するLokiBotの多くはクラック版※4であり、日本においてもこの傾向は
変わりません。JSOCで検知した日本組織に届いたLokiBotも多くがクラック版でした。クラック版と
は、開発者らが販売する元のLokiBotを改変したバイナリのことです。クラック版を用いることで、
LokiBotの販売者らに支払う利用料金を支払わずに済むことから攻撃者によって多用されているものと
考えられます。
※4 CVE-2017-11882 Exploited to Deliver a Loki Infostealer
クラック版LokiBotは、フォーラムで出回っている図13のビルダーを用いると任意のC2通信先を指定し
たものが簡単に生成できます。さらに、C2パネルのソースコードも流出しているため、クラック版で
も攻撃を容易に行うことができてしまうのが実情です。
図13 クラック版LokiBotのビルダー
（v1.6のビルダーと表示されるが、実際は1.8のビルダーとみられる）
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 10 of 14

クラック版のLokiBotはバージョン1.8（0x12）をベースとして生成されているとみられ、オリジナルバ
ージョンには存在しない「.x」セクションが含まれています。「.x」セクションには、C2通信先を上書
きするコードが含まれており、このセクションの有無を確認することでクラック版であるか否かの判
別が可能です。その他にも開発者が配布する元のLokiBotと相違点があります。例えば、キーロガーに
関するC2コマンド（表2の0x09）が実装されておらず、キーロガーの機能を有していないという点や、
通信時にバイナリIDとして「ckav[.]ru」が含まれる点が挙げられます。
被害に遭わないための対策
攻撃の被害に遭うことがないよう、以下のようなセキュリティ対策が実施できているか今一度ご確認
いただくことを推奨します。
Windows OSやOffice製品、Webブラウザなどの各ソフトウェアを常に最新の状態にする
ウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新する
EDR製品を導入し、感染の検知・防御だけでなく、万が一の際の迅速な対応を可能にする
身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない
マクロやセキュリティに関する警告が表示された場合、安易に「マクロを有効にする」「コンテ
ンツの有効化」というボタンはクリックしない
ラックが提供するサービス
情報窃取型マルウェアに対する有効なサービスと、調査時に役立つツールの一部をご紹介します。
マネージドEDRサービス
引き続き、新型コロナウイルスの影響で、テレワークが拡大している背景からも、PCのセキュリティ
対策の重要性が増しています。
マネージドサービスを提供しているEDR製品（CrowdStrike Falcon／Microsoft Defender ATP）は、PC内
の様々な動作痕跡を元に、未知の脅威を「検知」「初期対応」「調査」「復旧」することを可能にす
る新しいセキュリティソリューションです。
AgentTeslaなどの情報窃取型マルウェアにおいても検知、防御が可能であることを確認しており、EDR
の導入は有効な対策のひとつとなります。さらにEDRは、感染の検知・防御だけでなく、万が一の際
の迅速な一次対処や原因調査を可能にするため、今回紹介した一般的なマルウェアへの対策だけでは
なく、高度な標的型攻撃への対策としても有効です。
情報漏えいチェックサービス
今回紹介した情報窃取型マルウェアなどが、自組織のネットワーク内のPCに感染していないかを調査
できるのが情報漏えいチェックサービスです。
このサービスでは、お客様のネットワーク環境におけるインターネットの出口にトラフィック収集機
器を設置して収集したデータや、プロキシサーバのログを、専任のアナリストが情報漏えいの観点で
解析します。
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 11 of 14

ラックの独自の知見をもとに調査を行うため、情報窃取型マルウェアやバンキングマルウェアだけで
なく、標的型攻撃による不審な通信についても発見・報告した実績がこれまでに多数あります。自組
織内のPCにマルウェアの感染がないかを第三者の視点から定期的にチェックするといった「健康診
断」としてのご活用をぜひご検討ください。
無料調査ツール「FalconNest」
ラックが無料で提供しているツール「FalconNest」は、不審なファイルを調査する際に役立ちます。
メールに添付されているファイルがマルウェアか否かを確認したい場合、「マルウェア自動分析機能
（Malware Analyzer）」にて調査することができます。
図14 FalconNest（Malware Analyzerの検出例）
また、解析したいファイルをアップロードする際に、「コードインテリジェンス分析を使用する」に
チェックを入れることにより、Intezer Analyze※5の機能によって、どのマルウェアファミリーに属して
いるのか分析できます。以下の図15は、解析結果のJSONファイルです。「family」の項目を見ると、
AgentTeslaに分類されていることが分かります。
※5 Intezer - Autonomous Security Operations
図15 コードインテリジェンス分析の解析結果
まとめ
今回はJSOCの検知傾向に基づいて数種類の情報窃取型マルウェアを解説しましたが、紹介したもの以
外にもたくさんの種類があります。XLoaderやSnake Keyloggerなど、比較的新たな情報窃取型マルウェ
アも登場しており、情報窃取型マルウェアの情勢も変化しつつあります。そのため、これらのマルウ
ェアが既存の製品によって簡単に検知すると油断せず、多層的に対策を行うことが重要です。
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 12 of 14

脅威分析チームは、今後もマルウェアや攻撃キャンペーンについて継続的に調査し、広く情報を提供
していきたいと考えていますので、その情報をご活用いただければ幸いです。
サイバー救急センター　脅威分析チーム
（武田 貴寛、松本 拓馬、髙源 武彦）
IOC（Indicator Of Compromised）
AgentTesla（MD5）
d4a2487d6ebebfbfdb0768c990963f3f
d1b9a474883c8b76248b2a902b0fff3a
480d2cd631b442fcd0ec4dc77076b9b9
b4eab6adcac586a4f8c457f121b6e06e
bf51a1e00b087a25ec19d22a7ec1a307
5d9692630fe462721d302a2f2645aa14
a8eff47f0222d50d6c37d6a18ccff543
0a3a1385c70ecec991de3baf9ea504e8
FormBook（MD5）
c8d7f9160e60b1db486561b007ab7621
14ec4cfb2a55bbd695844c38aec0aabc
419b440432ac6a3b9acb14c94c8e63ba
57bd2d2933d5c64bca855b90f21887a4
9ebbda76067bcea4343c56f37fc8bfc6
XLoader（MD5）
c4832ce0018f0455b27f1b92d1cb3152
2281240c80b4635c3e0d17a44142b14a
29a2ea2de2e06ff44e764795c83fbba7
a0ce2cc7efe495427eb62c4c4ab2d3d2
bcde42776b0996bd7ec03be666fbd8c3
c9a3d8f7a9dd8083b71ce917f47b3585
LokiBot（MD5）
e6e8630a4ebb748fbff69def4af87869
24dd4963d365c33435f58adaebb1ef26
ce9243796ed9bb455d7bc29aee7566e9
d983e2e5b77b10131ec146dc026f3986
573ac4bba0681562c1ed9a00d4aee41e
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 13 of 14

Source: https://www.lac.co.jp/lacwatch/report/20220307_002893.html
https://www.lac.co.jp/lacwatch/report/20220307_002893.html
Page 14 of 14