McAfee Avert Labs Blog
Inside the Password-Stealing Business」より
September 24,2009 Posted by Dennis Elser,Micha Pekrul

 米マカフィーのウイルス対策技術研究機関Avert Labsは2009年9月24日(米国時間),新たなセキュリティ調査報告書「Inside the Password-Stealing Business:the Who and How of Identity Theft(パスワード窃盗ビジネスの内情:誰がどのように個人情報を盗んでいるのか)」(PDF形式)を公開した。オンライン金融取引が盛んに行われている今日,銀行口座などのパスワードを盗むことはサイバー犯罪者にとって極めて魅力的な行為だ。泥棒は世界中におり,トロイの木馬のようなマルウエアを使ってユーザーのログイン情報を盗む。こうして得た情報は,たちの悪い顧客に転売されて違法ビジネスに悪用される。

 この報告書では,パスワード窃盗行為の技術的詳細やその洗練度合い,パスワード窃盗に加担している「Zbot」,「Sinowal」,「Steam Stealer」といった悪名高い最新マルウエアの仕組みを説明している(関連記事:マスター・ブート・レコード(MBR)を狙うルートキットが再び活発に)。こうしたマルウエアのまん延状況と配布手段も取り上げた。そして,サイバー犯罪者が銀行の実施するオンライン取引セキュリティ対策に追従したり,現在の経済状況を利用したりする手口にも触れた。例えば,犯罪者の「職探しに必死な人へ違法な『在宅ビジネス』を紹介する」という行為は,不用心な人を違法行為に誘い込む餌(えさ)となる。

報告書(PDF形式)は英語とその他9カ国語で読める。

 パスワード窃盗マルウエアの例として,当記事では簡単に「Silentbanker」を紹介しよう。

 まず,「Internet Explorer(IE)」用プラグインの一種であるブラウザ・ヘルパー・オブジェクト(BHO)を説明する。ソフトウエア開発者がBHOを使うと,IEのソースコードを参照することなくIEに機能を追加できる。Webブラウザ開発者の力を借りずに機能を追加できるので,BHOは悪くないアイデアと思える。機能を追加したい場合でなくても,BHOは役立つ。ユーザー・インタフェース(UI)をカスタマイズしたり,WebブラウザでPDF文書を読んだりする拡張機能をダウンロードできると便利だろう。この考えは,正解でもあれば間違いでもある。答えは,BHOの作者やBHOダウンロード用サーバー,ユーザーの使っているDNSサーバーをどの程度信頼するかによって変わる。残念ながら,BHOの中には危険なものが存在する。悪人たちは,本来なら有益で無害な機能をマルウエア拡散やログイン情報などの取得に使おうと,絶えず悪報方法を考えている。Silentbankerは,BHOという皮を被ってパスワードを盗む,たちの悪いマルウエアの一つだ。

 つまり,ユーザーが望まない動きをする「ヘルパー」である。Silentbankerは,IEにインストールされると自動的にロードされ,IEとインターネット間の通信に割り込めるようになる。柔軟な設定が可能で,オンライン・バンキングのユーザーを狙い撃ちできる。オンライン・バンキングにかかわる通信を認識して監視するだけでなく,HTMLページを改変してコードを追加したり通信内容を変えたりする機能も持っているようだ。man-in-the-middle(仲介者)という手法を使うことで,通信相手のサーバーに送る前の未暗号化データと,サーバーから受け取った後の復号済みデータを確認/改変する。SSLで通信を暗号化すれば,安全が確保できるだろうか。そうはいかない。SilentbankerはIEの上位層で活動するため,SSLは対策にならない。

Silentbanker BHO

 上記スクリーンショットは,Silentbankerの攻撃用モジュールの擬似コードだ。Silentbankerはこのコードを使い,Windowsの機能と自らの攻撃ルーチンを接続している。そして,ホスト侵入防止システム(IPS)といったセキュリティ・アプリケーションを上手に無効化してしまう。なお,SilentbankerはWindowsの機能と攻撃ルーチンを接続する前に,(「read_whole_file」を使って)ハード・ディスクからWindows用ライブラリの本来のコードを読み出し,(「remove_API_hooks」で)自分のプロセス用メモリーにマッピングし,それ以前に確立されていた接続を無効にする。その結果,同じ手法を使うセキュリティ・アプリケーションが機能しなくなる。

 パソコンでセキュリティ・アプリケーション「McAfee VirusScan」「Artemis」を実行し,ネットワーク内で「McAfee Gateway Anti-Malware」を使うことで,パスワード窃盗から身を守ろう。

Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Inside the Password-Stealing Business」でお読みいただけます。