Windows Liveプロフィールに意味不明な文字列、じつはボットへの指令暗号


RSAセキュリティの水村明博氏(マーケティング統括本部シニアマーケティングマネジャー)

 RSAセキュリティ株式会社は24日、RSA Anti-Fraud Command Center(AFCC)の分析データなどをもとにオンライン詐欺の最新動向を紹介する月例の記者説明会を開催し、「Brazilian Banker(ブラジル人銀行員)」と呼ばれるトロイの木馬が使う新手の手法について報告した。PCに感染したトロイの木馬(ボットネット)に指令を出すのに、Windows LiveやGoogle Groups、Twitterといった一般向けの無料ウェブサービスを悪用し、攻撃コストを削減しているという。

 Brazilian Bankerは、ブラジル銀行を中心とした南米の金融機関をターゲットにしたトロイの木馬で、主にスパムメールにより侵入する。顧客のPCが感染すると、インターネットバンキングのID情報が窃取されるなどの被害をもたらす。

 RSAセキュリティの水村明博氏(マーケティング統括本部シニアマーケティングマネジャー)によると、ボットネットへの指令手段としてウェブサービスを悪用する事例は昨年9月ごろから報道されているが、AFCCでは最近、Windows Live(Live.com)のプロフィールページを悪用してインターネットバンキングを狙うBrazilian Bankerの亜種の存在を確認した。

 このページは、Windows Liveアカウントの登録者が自身のプロフィール情報を公開するページで、「EIOWJE」で始まる意味不明な文字列が掲載されていた。PCに感染したBrazilian Bankerの亜種は、Live.comの特定のページを検索し、「EIOWJE」という文字列を含むページを検出。「EIOWJE」以下に続く暗号化された指令を復号化し、感染したPC上で実行するのだという。なお、「EIOWJE」が何語なのか、またどういう意味があるのかまでは解析できてないとした。


一般向けウェブサービスの悪用手法。ボットへの指令・管理データ置き場として使われるWindows Liveのプロフィールページの悪用例

 類似した事例としてはGoogle GroupsやTwitterを悪用したものが確認されており、Brazilian Bankerでもこれらを悪用することがわかっている。

 Google Groupsの場合は、感染後、トロイの木馬が特定のGmailアカウントにログインし、犯罪者が開設したニューズグループのページを参照して、自身が実行すべき指令を入手する。さらに、攻撃が成功したか否かをニューズグループに投稿する機能もあるという。

 一方、Twitterについては、犯罪者が開設したTwitterアカウントから、RSSフィードで暗号化された文字列により指令を受け取る仕組みだ。詳しい知識がなくとも、Twitterを悪用したボットネットを構築できるツールキットもあるようだという。

 水村氏は、犯罪者がこうした無料のウェブサービスを悪用するメリットとして、ボットネットに指令を出したりアップデートを行う拠点のためにドメイン名を維持する必要がないこと、専用サーバーをホスティングする必要がないこと、使っているアカウントが閉鎖されても直ちに別のアカウントを無料で開設できることなどを挙げる。アカウントが閉鎖された場合の仕組みについてはAFCCでも詳しいところまでは把握していないが、トロイの木馬にあらかじめ次に使うアカウントの情報を保持させていることなども考えられるとしている。

 さらに、こうした一般向けウェブサービス上では、そこに掲載されている指令内容を、トロイの木馬に関連する通信として検知できないことも犯罪者側のメリットになる。疑わしいURLだけをスキャンする以外に、新たな検知手法を開発する必要があるとしている。

 しかし、犯罪者にとってこうしたメリットがあるにもかかわらず、一般向けウェブサービスを悪用する事例はまだ非常に珍しいという。Brazilian Bankerにしても、AFCCが全世界で補足しているオンライン詐欺のうちの1%程度にとどまっている。水村氏は、私見だとしながらも、今後もこうした手法が急激に増加する可能性は低いのではないかとした。サービス運営会社側も、犯罪の温床となっていることがわかれば、アカウント削除や当局との連携をとるなど、対策を施してくると考えられるためだ。

5月にフィッシング攻撃を受けた回数の国別比率

 AFCCがまとめた5月の統計データによると、フィッシング攻撃を受けた回数の上位国は、英国が35.5%、米国が34.0%、南アフリカが14.5%、中国が6.0%、イタリアが5.0%の順。依然として英国と米国で3分の2以上を占めているが、南アフリカが4月に引き続き3位となっており、比率も4月の7.0%から増加した。

 水村氏によると、南アフリカといえはサッカーのワールドカップとの関連性が思い浮かぶが、ほとんどがクレジットカードに関するもので、ワールドカップがらみの話題性のある事例は見あたらなかったという。


関連情報


(永沢 茂)

2010/6/24 15:52