犯罪用リモートアクセスツール「Blackshades」がトロイの木馬の機能を実装

EMCジャパン株式会社RSA事業本部マーケティング部の水村明博氏

Blackshadesを使った銀行顧客への攻撃例

　EMCジャパン株式会社のRSA事業本部は26日、オンライン犯罪に関する定例の記者説明会を開催し、犯罪用リモートアクセスツール「Blackshades」の脅威について、同社マーケティング部の水村明博氏が解説した。

　Blackshades自体はオンライン犯罪用リモートアクセスツールとして以前より名をはせていたもので、2008年ごろからマルウェアとして認知されていた。それが2010年ごろから、これにトロイの木馬の機能を追加したものがアンダーグラウンドで出てきているという。

　Blackshadesがリモート制御可能な項目としては、PCのシャットダウン、モニターのオン／オフ、ウェブカメラのオン／オフ、デスクトップのスナップショット撮影、ストレージの参照と任意のファイルのダウンロード、プログラムファイルのダウンロードと実行――などがあり、水村氏によれば「犯罪用リモートアクセスツールとしては、ほぼ完璧な出来」。例えば、起動しているPCにアクセスし、リモートからウェブカメラを起動して部屋の中をのぞいたり、キーロガーをダウンロードしてパスワードを盗むといったプライバシー侵害に悪用される。

　リモートアクセス以外の機能も充実しており、PC内のファイルを勝手に暗号化して身代金を要求するランサムウェアの機能をはじめ、USBデバイス経由で感染を広げる機能、さらにはファーミングやスパム送信、DDoSなどのツールも備える。

　さらにトロイの木馬の機能が追加されたことで、ユーザーがアクセスしたサイトやゲームソフト、FTPソフト、インスタントメッセンジャーなどのパスワード、購入したソフトのシリアル番号、PC内のアドレス帳やメールなどの情報を摂取し、犯罪者のサーバーに送信することも可能になり、「なりすましを完全にするためのツールとして使われる」。

　例えば、被害者とそのアクセス先である銀行サイトとのセッションを乗っ取り、被害者本人になりすまして銀行口座を不正操作する中間者（Man-in-the-middle：MITM）攻撃の場合、通常のトロイの木馬であれば、セッションを乗っ取ろうとした痕跡が残るという。しかし、リモートアクセスツールの機能を使うことで、それをあまり気付かせないようにすることが可能だ。すなわち、ウェブカメラで被害者がPCの前にいないかどうか確認し、いない時に乗っ取ればよい。もしくは、被害者がPCの前にいた場合は、スクリーンセーバーを起動してバックグランドで乗っ取る手もある。

　さらに、盗んだID・パスワードで被害者のPCをリモートで操作すれば、銀行サイト側からすれば本人による操作と区別できない。認証を回避でき、銀行の不正ブロック機能も発動しないことになる。

　今のところRSAでは、実際にBlackshadesによるこうした攻撃が発生した事例を観測しているわけではない。しかし、アンダーグラウンドのコミュニティで見られるインストラクションやチュートリアルでこうした攻撃手法が説明されていることから、今後大きな脅威になるとみている。

　水村氏はまた、通常のトロイの木馬が不特定多数を狙って感染し、なるべく管理者の手をわずらわせることなく多くの情報を摂取しようとするものであるのに対し、Blackshadesは、特定のターゲットをピンポイントで狙うような性格を持ったツールであることも指摘した。