トロイの木馬「SpyEye V1.3」はこう進化する!? 「Zeus」を統合して進化


EMCジャパン株式会社RSA事業本部マーケティング部の水村明博氏

 EMCジャパン株式会社のRSA事業本部は24日、オンライン犯罪に関する定例の記者説明会を開催し、近く登場するとみられるトロイの木馬「SpyEye」の新バージョンについて、同社マーケティング部の水村明博氏が解説した。

 水村氏によると、SpyEyeはオンラインバンクをターゲットにしたトロイの木馬で、2009年12月に登場。しかし当時はトロイの木馬としては「Zeus」が「あらゆるトロイの木馬の神」として君臨しており、SpyEyeはあまり目立たなかったという。

 ところがSpyEyeは低価格だったこともり、闇市場でしだいに支持されるようになる。バージョンアップも繰り返し、Zeusを無効化して感染先を乗っ取ってしまう「Zeusキラー」と呼ばれる機能なども追加。感染先から個人情報が集まるドロップサーバーの数でもSpyEyeのものが増加し、Zeusの最大のライバルになったという。

 しかし2010年11月、SpyEyeとZeusが統合されるという衝撃的な発表があり、翌11月にはSpyEyeの作者から闇市場の顧客らに対して、Zeusを統合したSpyEyeの新バージョンの概要が伝えられたという。

 具体的には、従来以上にモジュール化を進めて管理を容易にすること、セキュリティソフトからの検知を困難にすることで感染先から除去されにくくすること、ダッシュボードなどのリモートコントロール機能を強化すること、そして、Zeusが得意としていたというHTMLインジェクション機能を改良することなどだ。また、既存のSpyEye、Zeusいずれの利用者にとっても使いやすい、新しい管理者用コンソールも提供するとされていた。

 その後、闇市場におけるSpyEye新バージョンへの期待に便乗した商法も出てきた模様だ。「SpyEye V1.4」を売り込む投稿など偽の情報が流れ、これに対して犯罪者が偽物として糾弾するやりとりも見受けられたという。

 そんな中、SpyEyeのプログラマーは次々と実験バージョンとして亜種をリリースしているという。RSAではこれら亜種をすべて監視しているとしており、その解析結果から、新バージョンのSpyEye V1.3に新機能を追加するために精力的に開発が進められていると指摘。RSAでは、作者の言動などもあわせ、SpyEye V1.3に備わるであろう機能について、同社米国法人の公式ブログにおいて2月8日付で伝えていた。

 RSAによると、SpyEye V1.3ではまず、ZeusのIE向けHTMLインジェクション機構を統合するという。従来のSpyEyeでは、ウェブブラウザーがキャッシュファイルを表示する際に偽のコンテンツを注入できず、オンラインバンキングで偽の振り込み完了画面などを表示するのに難があった。SpyEye V1.3では、Zeusのコードを移植することで、より“エレガント”な方法でこの問題に対処するとみられる。

 また、SpyEyeの設定ファイルやプログラムの一部、設定ファイルの暗号鍵など、重要な情報の保管場所をPE(Portable Executable)リソースセクションの内側に変更。新型亜種作成ツールの実装に要するプログラムの単純化を図るとともに、SpyEyeの機密部分を暗号化・難読化するかたちにもなるとしている。

 このほか、セキュリティソフトに対するステルス性を向上させるため、不正コードを2段階に分けてリモートスレッドに注入するという複雑な方法を採用。また、機能別のモジュール構成とし、モジュール別に販売したり、複数プログラマーで作業分担することも可能なるという。

 水村氏によると、同社ではまだSpyEye V1.3による被害は確認していない。ただし、最近のトロイの木馬の感染数では、1位のZeusに次いで、SpyEyeが2番手として増加しているとし、犯罪者にとってSpyEyeの利用価値が高まっていると指摘。さらに前述のような新機能がすべて搭載されれば、「あらゆるトロイの木馬の神」とされたZeusも過去の遺物となり、犯罪者がSpyEyeへと移行していくとしている。


関連情報


(永沢 茂)

2011/2/25 11:13