セキュリティ研究者の身として私は,マルウエア作者の宣伝を手助けすることなど全く望んではいない。しかしここであえて,マルウエア作者が自分たちの“製品”を宣伝しているサイトを紹介する。その存在については,知っておいた方がよいこともある。
著者は3月第3週の週末に,興味深いWebページを見付けた。Webページには,詳細な連絡先と一緒に,彼らが開発したパスワード窃盗用のトロイの木馬がアニメーションで紹介されていた。アニメーションにはこトロイの木馬が,ユーザーの銀行口座に関する情報やユーザー名/パスワードだけでなく,トランザクション番号(TAN)まで盗む動作が記録されていた。
同Webサイトの運営グループは,主にドイツ・ポストバンクやドイツ・バンクといったドイツの銀行を狙っているようだが,ほかの国の金融機関も対象となる。
当然ここでは問題のアニメーションを紹介しないが,分かりやすくするために,悪人どものWebサイトからキャプチャしたスクリーンショットを掲載する。スクリーンショットは説明目的で掲載するのであって,攻撃目標の金融機関に対する悪巧みを意図したものではない。
 [画像のクリックで拡大表示] |
このトロイの木馬は,攻撃対象銀行が運用する本物のWebサーバーに,SSL暗号化経路でアクセスしてHTMLページを取得し,そのページに自身のコードを挿入する。ユーザーがトロイの木馬に感染したパソコンでトランザクション番号を入力すると,「入力したトランザクション番号は使用済み」という偽のメッセージが表示される。このときトロイの木馬は,トランザクション番号をパソコン内に保存する。そのため,ユーザーが少ししてから再度試しても,先ほどのトランザクション番号は使えない。当然トロイの木馬は,悪人どものWebサーバーに口座の情報とトランザクション番号を送信する。ユーザーが別のトランザクション番号を入力すると,全く問題なく銀行口座にアクセスできる。
 [画像のクリックで拡大表示] |
スクリーンショットから分かるように,マルウエア作者は仮想化ソフトの「VMware」を使用してトロイの木馬を開発し,各セッションにはそれぞれ異なるウイルス対策製品をインストールしていた。
以下のスクリーン・ショットは,本物のHTMLページに追加されたコードの例だ。このコードは,入力されたデータが順当かどうかまで確認する。例えば,ユーザーの入力したデータの長さを調べ,一致しない場合はエラー・メッセージを出す。
 [画像のクリックで拡大表示] |
問題のWebサイトにはトロイの木馬のデバッグ用バージョンも用意されていて,“開発者”はHTMLページに挿入できるコードの詳細を知ることができる。
トロイの木馬はInternet Explorer内のクッキーを消してしまうので,次回ユーザーがログオンを要するWebサイトにアクセスすると,ユーザー名とパスワードの入力が必要となる。
このトロイの木馬は,被害者のキー入力だけでなく,マウスによるソフトウエア・キーボード入力にも対応している。具体的には,ユーザーがクリックした画面領域を,スクリーン・ショットで記録するのだ。そして,すべての画像データを悪人どものWebサーバーに送信する。
 [画像のクリックで拡大表示] |
Browser Helper Object(BHO)であるため,このトロイの木馬はIE上でしか機能しない。ほかのWebブラウザは,全く影響を受けない。
一般にトロイの木馬は,自己複製機能を持っていない。この種のパスワード窃盗用マルウエアは,スパム・メールに添付されてきたダウンローダをユーザーが実行することで,パソコンに入り込む。ダウンローダが,別のトロイの木馬をダウンロードし,インストールするのだ。また,インターネット・チャットによるボット(IRCボット)がこうしたマルウエア用のインストール・コマンドを受け取ることや,悪意のあるWebページが感染源になることもある。
 [画像のクリックで拡大表示] |
重要な金融取引をパソコンで行っているのなら,インストールしたソフトウエアとOSに最新のサービス・パックを適用しよう。ウイルス対策ソフトを最新の状態に維持し,ファイアウォールでパソコンを守ろう。
もう一度よく考えよう。あなたのお金なのだ。
銀行のWebサイトへのログオン時に何か怪しかったり,トランザクション番号を入力できなかったり,利用明細に記憶にないデビット利用を見付けた場合は,すぐ銀行に問い合わせよう。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Advertising malware…」でお読みいただけます。
