ニュース

流出カード番号リストに自分の番号がないか検索すると……それ自体が罠

 マカフィー株式会社は18日、サイバー金融詐欺の現状について報道関係者向けの説明会を開催した。PCにマルウェアを侵入させたり、ユーザーのアカウント情報を窃取するために使われるソーシャルエンジニアリング攻撃の手法について、米McAfeeのブルース・スネル氏(テクニカル・ソリューションズディレクター)が攻撃ツールのデモを交えながら解説した。

米McAfeeのブルース・スネル氏

 スネル氏がデモしたのは、「BackTrack」のソーシャルエンジニアリングツールを使って、バックドアを仕掛けたPCを遠隔操作するというもの。バックドアに感染させるための実行ファイルはUSBメモリに保存し、それを人目に付く場所にわざと落としておくことで、それを拾った人がPCに接続して感染するよう仕向ける。

 スネル氏によると、駐車場やロビー、あるいはソファのすき間などに置かれていることが多いという。また、USBメモリ本体には意図的に「Do Not Touch」などと書いておき、逆に中身を見たくなるよう細かい工夫を施す。イランの重要インフラを狙った「Stuxnet」の攻撃も最初はUSBメモリだったとしている。

 PCにUSBメモリを接続すると、自動再生のオプションを選択させる通常のウィンドウが開くが、「プライベートなファイルをアンロックする」といった好奇心をそそるようなオプションが表示されるようになっており、このオプションをクリックするとUSBメモリ内の実行ファイルが起動してしまうというわけだ(スネル氏はデモにあたり、PCのウイルス対策ソフトをオフにした。以前、オンにしたままデモを行ったところ、USBメモリ内のマルウェアを検知して削除してしまったからだという)。

 さて、攻撃コードが実行されると、遠隔の攻撃者が感染PCをのっとることが可能になる。スネル氏は攻撃者のPC上のツールからさまざまコマンドを実行し、任意の文章を書いたテキストファイルを感染PCのデスクトップに作成したり、それを削除する操作などを簡単にやってみせた。

 また、ツールにはさまざま組み込みコマンドがあり、例えば「ハッシュダンプ」という機能を実行することにより、WindowsのSAMデータベースからすべてのユーザーパスワードのハッシュ情報が収集される様子を紹介したほか、最後に攻撃者が操作した痕跡をすべて消去することも可能だとした。

向かって左が攻撃ツールの画面、右が感染PCの画面

 もう1つのソーシャルエンジニアリングの手口は、攻撃者が公開したウェブページ上に仕掛けたある“機能”によるものだ。

 スネル氏によると、大量のアカウント情報やクレジットカード情報を窃取することに成功した攻撃者は往々にして、それらのリストをウェブページ上で公開することがあるという。これは、流出元となった企業の評判を落とすという意図があると同時に、一般ユーザーが自分のアカウントやクレジットカードの情報が含まれていないかどうか確認するために、リストを掲載したページにアクセスしてくることも想定している。

 そうしたリストに含まれる情報は膨大な件数に上るため、ユーザーは自身のカード番号と掲載されている番号を1つ1つ突き合わせていくといったことはしない。通常はウェブブラウザーの検索機能を使い、自分のアカウントの文字列やクレジットカード番号をキーワードにしてページ内を全文検索することになる。

 このソーシャルエンジニアリング攻撃は、こうした行動につけ込んだものだ。ページの閲覧者が全文検索しようとCtrl+Fのショートカットキーを押すのをトリガーして、偽の検索バーをJavaScriptでポップアップ表示するという。使用しているウェブブラウザーを認識し、正規の検索バーが表示される位置に合わせて、デザインのそっくりな偽入力フォームが手前に表示されるため、ユーザーはそこに自分のカード番号などを入力してしまう。しかし、それはブラウザーの検索機能ではなく、入力した文字列が攻撃者の元へ送信されるようになっている。

 スネル氏によると、コードをインジェクションすることもなく、ウェブページ側のHTMLのみを細工することで仕掛けられる攻撃である点が問題だとしている。デモで再現したのは、Google Chromeのアドレスバーの右下に表示される検索バーを装ったものだったが、よく見るとアドレスバーとの間に境界線が入っている点で本物と異なるが、よほど注意深くなければこの策略にはまってしまうとスネル氏は指摘した。

 なお、大きな被害につながったわけではないが、実際にこの手口での実例があったという。Anonymousを騙る攻撃者が、ツイートで流出カード番号リストのページへ誘導。転売目的でカード番号情報を窃取していたとみられている。

デモでは、本物の検索機能ではないことを分かりやすく示すため、偽の検索バーから検索すると「あなたのクレジットカード番号はいただいた」的なメッセージ画面を表示する仕掛けだった。もちろん、実際の攻撃では通常は表示しないため、気が付かない可能性が高い

(永沢 茂)