Discordチャットでの悪意あるアクティビティ

最近の調査レポートから、Discordでの悪意ある活動をタイプ別に取り上げます。

チャットとVoIPのサービスであるDiscordが世に出てから6年。Discordは、興味のあるテーマごとにコミュニティを構築するためのツールとして、特にゲーマーの間で人気となりました。しかし、利用者が自作したコンテンツをホスティングするタイプのプラットフォームに共通の傾向ですが、Discordも悪用される可能性があります。また、Discordの提供する広範なカスタマイズオプションも、チャットサーバーの内外を問わず、一般の利用者に対する攻撃に利用される恐れがあります。Discordのセキュリティに関する最近の調査では、Discordのチャットサービス関連のサイバー攻撃シナリオが紹介されており、利用者にとって本当に危険な可能性のあるシナリオもあります。そこで、主な攻撃シナリオを確認しながら、サイバー攻撃から自分自身を守るための対策を見ていくことにしましょう。

Discordを通じて拡散するマルウェア

特に明白な脅威は、Discordを通じてばらまかれる悪意あるファイルです。最近の調査では、数十種類のマルウェアが確認されています(英語記事)。わざわざ「明白な」と書いたのは、Discordではファイルの共有するのが非常に簡単なので、マルウェアが拡散しやすいためです。Discordでファイルをアップロードすると、ファイルには以下の形式のパーマネントURLが割り当てられます。

cdn.discordapp.com/attachments/{チャネルID}/{ファイルID}/{ファイル名}

大体のファイルは、URLを知っている人なら誰でもダウンロード可能です。

この調査レポートでは、実際の攻撃例として、Zoomクライアントをダウンロードできるとうたう偽のWebサイトを紹介しています。このWebサイトは本物のように見え、悪意あるファイルはDiscordサーバーにホストされています。何百万人もの人々が利用する人気アプリケーションのサーバーがマルウェア対策ソリューションによってブロックされる可能性は低いので、この悪意あるファイルは、信頼できないところからのファイルのダウンロードに関する制限に引っかかりません。

この悪質な「ライフハック」に対抗する方法は明白です。質の高いセキュリティソリューションは、ファイルの危険度を判断するとき、ファイルのダウンロード元以外も確認します。例えばカスペルスキー製品は、悪意あるファイルが初めてダウンロードされたときに悪意ある機能をすぐに検知します。さらに、このファイルはブロックすべき対象であるということを、クラウドベースの自社セキュリティシステムを通じてその他ユーザーにも伝達します。

自作コンテンツのアップロードを許可しているサービスは、どれも悪用の問題を抱えています。例えば、無料のWebホスティングサイトではフィッシングページが作成され、ファイル共有プラットフォームはトロイの木馬の拡散に使われ、フォーム入力サービスはスパムメールの送信経路として利用される、という具合です。プラットフォーム側は何とか対処しようとしていますが、効果のほどはまちまちです。

Discordもまた、少なくとも、利用者を守る基本的な手段を実装する必要があります。例えば、特定のチャットサーバー上で使われているファイルを、どこからでも利用できるようにする必要はありません。また、既知のマルウェアをチェックして自動的にブロックするのも賢明な対応に思われます。何にせよ、利用者を保護する手段に欠けるというのはDiscordが抱えている問題であり、この問題に対処することは、その他のマルウェア拡散方法に対処するのと変わりません。しかし、利用者が直面する脅威はほかにもあります。

悪質なBot

別の調査研究は、DiscordのBotシステムをどれほど簡単に悪用できるかを示しています(英語記事)。Botはチャットサーバーの機能を拡張するためのもので、実にさまざまな種類があります。この調査で挙げられた悪用の一例を紹介しましょう。以下に示すのは、最近GitHubで公開された(そして早々に削除された)チャット関連の悪意あるコードの事例です。主にDiscord APIの機能を使っており、ユーザーのコンピューター上で任意のコードを実行することが可能でした。

Discordのチャットを通じたコマンドに従い、コンピューター上で実行する任意のプログラムのデモ

悪意あるチャットBotがDiscordのチャットを通じてコマンドを受け取った後にコンピューター上で任意のプログラムを起動している。出典

ある攻撃シナリオでは、ローカルにインストールされたDiscordクライアントを立ち上げるとき、悪意あるコードが自動的に起動するようになっていました。信頼できない所からBotをインストールすると、このような感染につながる可能性があります。

この調査では、Discordクライアントがインストールしてあるかどうかに左右されない悪用シナリオも調べています。その場合、マルウェアはチャットサービスを利用して通信します。DiscordのAPIは誰でも利用でき、登録プロセスは単純で、採用されているのはベーシックなデータ暗号化です。こういった条件のおかげで、マルウェアは感染したシステムに関するデータを攻撃者へ簡単に送ることができ、同様に、コードの実行や新しい悪意あるモジュールのアップロードなどのコマンドを受け取ることができます。

このタイプのシナリオはかなり危険です。感染したコンピューターとの通信インターフェイスを作成しなくても、すでに利用可能なものを使えるため、攻撃者としては作業が非常に簡素化されます。バックドアとバックドアを操る人物との間のやりとりは、普通のチャットに見えるため、悪意ある活動を検知しにくくなります。

ゲーマーの保護

ここまで見てきたような脅威はDiscordユーザーの全員に当てはまるのですが、中でも主に当てはまるのは、音声やテキストによるコミュニケーション、ストリーミング、ゲームの統計の集計などの目的で、Discordをゲームのアドオンとして使用する人々です。このような使い方をするには大幅なカスタマイズが必要となるため、悪意ある拡張機能をインストールしてしまうリスクが高まります。

このざっくばらんで一見安全なDiscordの環境は、さらなる脅威を生むことにもつながります。自分の友だちだと思っている相手との気軽なチャットでは、ソーシャルエンジニアリングを使った手口が成功しやすくなる可能性があるのです。Discordでも、通常のインターネット利用の場合と同じように、不審なリンクをクリックしない、出所が不明瞭なファイルをダウンロードしない、おいしすぎる話は入念に裏をとる、個人情報や金銭関連の情報を共有しないなど、セキュリティの基本に従うことをお勧めします。

マルウェアについては、Discordで広がるものであれ、ゲームプラットフォームを通じてばらまかれるものであれ、その他タイプのマルウェアと本質は変わりません。安全のために、信頼できるウイルス対策アプリの使用をお勧めします。ウイルス対策アプリは、何かソフトウェアをインストールするときやチャットサーバーにBotを追加するときも無効化せずに常に起動しておき、ウイルス対策アプリが発した警告には注意を払うようにしてください。

なお、パフォーマンス面への影響を気にする必要はありません。例えば当社のセキュリティ製品には、保護機能を損なうことなくオーバーヘッドを最小限に抑えるゲームモードが搭載されています。

ヒント