An Evolution of Profit Driven Malware」より
March 9,2010 posted by Matthew Zhao

 マルウエアはサイバー空間の厄介者だ。デジタル的な変装を施し、国境やパスポートといった制限などものともしないため、世界中のどこででも遭遇する。もちろん中国も例外でない。中国では、今やマルウエアの開発から感染拡大までを担うマルウエア業界チェーンが確立されている。作者がマルウエアを完成させると、インターネットで活動している業者が販売手段を提供して多額の利益を山分けする、という取引が一般的だ。

 こうした利益はどうやって生まれるのだろうか。実に様々な収益手段がある。例えば中国には、人気オンライン・ゲームの利用者からパスワードを盗むためのトロイの木馬が存在する。そしてオンライン・ゲームで使う仮想通貨やそのほかの仮想的な持ち物を売れば、本物のお金を入手できる。また目障りなポップアップ広告を表示するアドウエアのなかには、ユーザーがクリックして広告を閉じる前に新たな広告画面を出すものがある。この場合、アドウエア業者は表示で生じた掲載料を広告主から受け取る。

 さらに興味深く独特な別の例が中国で見つかった。それはパソコンのセキュリティとインテグリティを弱めることを目的とした、ダウンローダ型のトロイの木馬「Trojan.Cinmus/Cinmeng」だ。「Adware.Cinmus」とも呼ばれており、主にセキュリティ・ホールを悪用して許可なくこっそりとパソコンへ侵入する。バージョンによっては、図1で示すようにレジストリ値を変えてしまう。

図1●動的URLのパラメータ「pid」

 このレジストリ値に含まれるドメイン「taobao.com」は、「中国版イーベイ」ともいえる消費者向けコマース・サイトである。「SearchScopes」のサブキーは、Webブラウザ「Internet Explore(IE)7」がランダムな識別用ID「GUID」として生成する「UniqueID」値。これらレジストリ・エントリはIEの検索設定を変更するために使われる。、レジストリ・パス「\SearchScopes\」はIE 7以降にだけ有効だ。

 「URL」は検索サービス・プロバイダの設定に使われ、攻撃に際しては重要な役割を果たすため、マルウエアはよくこのURLの設定を書き換える。マルウエアに変更された状態でユーザーがIEの検索ボタンをクリックすると、IEはアクセスを意図しないWebサイトにリダイレクトする(図2参照)。これがブラウザ・ハイジャッキングとして知られる手口だ。一種のマルウエアがWebブラウザの設定を変えてハイジャックを実行し、ユーザーを希望していないWebサイトへ誘導する。

図2●URLのリダイレクト

 ただし、今回の例は変わっている。マルウエアに変更される前の「URL」値(以下)をよく見てみよう。

URL = hxxp://[削除済み].taobao.com/browse/search_auction.htm?q={searchTerms}&pid=mm_XXXXX&...

 この「URL」値の記述は、検索エンジンを外部システムから利用する「OpenSearch」の仕様に従っている。IE 7およびFirefoxで解釈可能なため、Web上でも同様に記述するよう推奨されている。この中で最も重要な部分が{searchTerms}だ。ここには、検索クライアントが一つまたは複数のキーワードを入れる。

「q」と「pid」はtaobao.comのWeb検索用パラメータで、以下の意味を持つ。

・q:検索クエリー
・pid:アフィリエイト・メンバーのWebサイト経由で送られた検索リクエスト

 IEが「pid=mm_XXXXX」というパラメータの設定された状態で上記URLを開くと、taobao.comのWebサーバーは検索クライアントが「mm_XXXXX」というアフィリエイト・メンバーIDのWebサイト経由でWebページを閲覧しようとしていると認識する。

 レジストリを勝手に変更する行為は道義上問題だが、ここでは議論しない。それよりも、これがどうして経済的利益につながるのだろう。ほかのアフィリエイト・プログラムと同様、検索クエリーでリファラを特定できる場合、Webブラウザはtaobao.comの検索結果を表示する。なお、taobao.com内で行われるクリックや商品購入については、アクセス増加や販売促進に貢献したとして直接アフィリエイト・メンバーに報酬を支払う。

 金銭目当てのマルウエアが標的にするのはtaobao.comだけでない。アクセス/販売を増やそうとアフィリエイト・メンバーに報酬を出すWebサイトは多いし、「Amazon.cn」などもその一つだ。明らかに煩わしいアドウエアでなく、人目に付かないよう密かに居座るマルウエアの作者は、我々が無意識に行う毎日のオンライン検索/ショッピングから生まれるおこぼれを収入源にしている。


Copyrights (C) 2010 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「An Evolution of Profit Driven Malware」でお読みいただけます。