| Symantec Security Response Weblog |
April 22、2010 Posted by Patrick Fitzgerald
以前、当ブログでマルウエア「W32.Qakbot」を取り上げた際には、仕組みと拡散方法、データを盗む機能を詳しく紹介した(関連記事:データ不正取得マルウエア「Qakbot」の正体を暴く:パート1/データ不正取得マルウエア「Qakbot」の正体を暴く:パート2)。今回は、Qakbotがこれまで首尾よく盗んできたデータの内容と規模に焦点を当ててみる。
データ不正取得
Qakbotは感染したパソコン内で重要情報の入力などを監視し、不正取得したデータをFTPサーバーへアップロードする。このFTPサーバーの情報はQakbotのボットネットからダウンロードされ、随時変更される可能性がある。最近のFTP設定をいくつか以下に示しておこう。
exec=!var ftphost_1=ftp.df[削除済み]
exec=!var ftphost_2=web1[削除済み]
exec=!var ftphost_3=ftp.su[削除済み]
exec=!var ftphost_4=ftp.ab[削除済み]
exec=!var ftphost_5=ftp.51[削除済み]
exec=!var ftphost_6=ftp.fan[削除済み]
我々はQakbotの分析中、上記FTPサーバーのうち二つにアクセスして注意深く見張ってみた。すると驚くべきことが分かった。小規模なボットネットであるにもかかわらず、両FTPサーバーにアップロードされた不正取得データのサイズは2週間で約4Gバイトにもなっていたのだ。データには以下のような情報が含まれていた。
・オンラインバンキングの情報
・クレジットカード情報
・ソーシャルネットワークの認証情報:Facebook、Twitter、Orkut、Bebo、Adult FriendFinderなど
・Webメールの認証情報:Hotmail、Gmail、Yahoo!など
・Web検索履歴
Qakbotは、パソコンの自動補完機能で保存/入力された情報を記録している。つまり、感染パソコンのWebブラウザーに入力した情報はすべて盗まれてしまう。
盗まれた自動補完データの例を以下に示す。
さらにQakbotは感染したパソコン自体の詳細情報も盗む。
無差別攻撃
Qakbotの変わった特徴は、一般家庭のユーザーの情報を盗むことが目的であるのに、企業や政府機関のパソコンにも感染を広げている点だ。例えばブラジルの地方政府用ネットワークにつながる100台以上のパソコンが感染している。もっと危険な例もQakbot用FTPサーバーのログに残っていた。英国のある大きな国立医療機関のネットワークがQakbotにより大規模な被害を受け、様々なサブネットに属するパソコン1100台以上が感染していた。被害に遭った組織に問い合わせたが、情報を盗まれた利用者や患者は見つからないという。FTPサーバーのログをわずか2週間調べただけでこれほどの感染が確認されたということは、実際の被害台数はもっと大きいだろう。
FTPのログデータから感染パソコンの場所を割り出して地図に記載したところ、感染パソコンで構成されたボットネットは全世界に広がっていた。
まとめ
盗まれたデータは、ある時点における被害者の行動を切り取った情報でしかない。ところが各種ログイン情報が一緒に盗まれるため、このデータを手に入れれば誰でも被害者のさらに詳しい活動内容を知ることができる。例えばある女性の場合、Facebookでチャットをした後、ArgosとW.H. Smithの通販サイトで買い物をしていた。そしてその日の行動を記事にして投稿した。攻撃者は、必要と思えばこの女性の利用しているWebサイトにログインして注文情報を調べ、商品の配達先である自宅の住所を知ることができる。この女性やほかのユーザーの氏名、住所、年齢、購買習慣、嗜好(しこう)、友人リスト、写真といった個人情報が、Qakbotの被害を受けていたのだ。
その上Qakbotを操っている首謀者は、盗んだデータをあまり守ろうとしない。このQakbotのサンプルを入手して動作を把握した人なら、誰であろうと簡単にデータを読めてしまう。当記事の執筆時点でQakbotが不正取得しているのは、一般家庭ユーザーに関する情報だけだ。ただ、Qakbotはダウンローダー機能を備えているため、Qakbotの感染を受けているのにまだ適切な対策をしていない企業はひどい攻撃を受ける可能性がある。
自衛手段
当社(米シマンテック)のウイルス対策ソフトと侵入防止システム(IPS)を使っていれば、Qakbotの攻撃を回避できる。当社はウイルス対策ソフトでQakbotの攻撃用バイナリファイルをW32.Qakbot、IPSでQakbotのダウンロード行為を「HTTP W32 Qakbot File Download Activity」として検出する。さらにIPSは、不正取得データをFTPサーバーへアップロードする動きを「FTP W32.Qakbot Activity」として検出し、阻止する。その結果、盗まれたデータが攻撃者の手に渡ることはなくなる。どのようなマルウエアを相手にする場合でも、セキュリティ教育は間違いなく強力な武器である。我々がまとめたW32.Qakbotに関する報告には、教育に役立つ情報がたくさん入っている。
この記事を読み、「悪質な第三者にオンラインアカウントが漏れているのではないか」と不安を感じているなら、各アカウント用のパスワードを全部変えるよい機会だ。我々が行った調査ではっきりしたのは、パスワードの作り方がよくないことである。推測されにくいパスワードを作った上で、1種類の同じパスワードを多くのオンラインサービスで使い回さないようにしよう(関連記事:Rg00dP@55Wrd53z―奥深きパスワードの世界/安全なパスワードの作り方)。
米シマンテックのセキュリティレスポンスは現在出回っているQakbotを無効化するために、関与している悪質なサイトと制御用(C&C:command-and-control)サーバーの活動停止に取り組んでいる。
Qakbotのログファイルのフォーマットを解析してくれたNicolas Falliere氏に感謝する。
Copyrights (C) 2009-2010 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆この記事は、シマンテックの許可を得て、米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は、「Qakbot Steals 2GB of Confidential Data per Week」でお読みいただけます。
