進む「Zeus」と「SpyEye」の連携

2011.02.01

　世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。

　米マカフィーによると、今後、ボットネット構築マルウエア「Zeus」および「SpyEye」の連携が進み、より高度なボットが出現する（「Combined Zeus/SpyEye Toolkit Announced」）。どちらも感染力が強く危険なマルウエアだが、組み合わさることでさらに危険性が高まるという（関連記事：「SpyEye」と「Zeus」の両ボットを比較）。

　そのZeusとSpyEyeを組み合わせたツールキット（バージョン番号は1.4.1）が2011年1月中旬に現れた。ブラックマーケットで販売されており、パスワードに対するブルートフォース攻撃や自動拡散/更新といった新機能を搭載したそうだ。ちなみに価格は、VNC（遠隔デスクトップ機能）などに対応していないバージョンが300ドル、完全バージョンが800ドルである。

　著者は、この800ドルという価格はあまりに安くて驚きだとする。2010年11月に4000ドル近い値段で限定販売されるとの情報があったらしい。マカフィーはバージョン1.4.1が偽物である可能性を指摘している。

ブラジルの納税者番号の大規模流出

　ロシアのカスペルスキーラボは、ブラジルの納税者番号（CPF）が漏えいしている問題をブログで取り上げている（「Your personal data in the wrong hands」）。

　CPFはブラジル市民にとって最も重要な情報で、個人の特定に使える。銀行口座の開設や運転免許証の取得/更新、不動産の売買、ローンの契約、就職、パスポートの取得、クレジットカードの発行など様々な場面で必要とされる。カスペルスキーラボによると、このCPFがフィッシング攻撃に使われていた（関連記事：Facebookで広がるマルチプラットフォーム対応マルウエア）。

　だたし、これは氷山の一角に過ぎない。何者かがCPFを持つ全ブラジル市民のデータベースをオンライン公開しているのだ。問題のWebサイトにアクセスしてCPFを入力すれば、該当する人物の個人情報を入手できる。具体的には、氏名、生年月日、住所、家族関係などを調べられる。

　カスペルスキーラボは、このWebサイトに三つのミラーサイトが存在することを確認した。そして、犯罪者が犯罪者に提供するサービスなので「C2C（Cybercriminals to Cybercriminals）」サービスと呼んでいる。

　これだけの情報が犯罪者の手に落ちたということは、データ流出元はブラジル政府だけでなく、Eコマースなどを手がける企業も攻撃を受けた可能性があるという。

WikiLeaks支持グループとサイバー犯罪との関係

　相変わらず、WikiLeaks（ウィキリークス）関連の話題もある。
　
　マカフィーによると、WikiLeaks支持グループ「AnonOps（Anonymous）」の一部メンバーがサイバー犯罪に関与している疑いがあるという（「‘Anonymous’ Hacktivists May Have Cybercrime Link」）。なお、Anonymousは世界各地でサーバーを確保し、WikiLeaksの活動を阻む組織/企業に分散型サービス妨害（DDoS）攻撃を仕掛けている（関連記事：WikiLeaksに大騒ぎ）。

　まずスパム監視団体のSpamhaus Projectは、WikiLeaksのミラーサイトのうち公式ミラーサイト一覧に見当たらない「mirror.wikileaks.info」（IPアドレスは92.241.190.202）に注目した。このミラーサイトに掲載されてるドメインには、危険なWebサイトと思われるものが入っている。

　また、インターネットチャット（IRC）でDDoS攻撃の標的を決める相談が行われていたという。チャットの中でハンガリーやポーランド、中国、イランなどあらゆる国の名前が挙がり、最終的にジンバブエに決まった。その理由は、不正ダイヤモンド取引に関与したとのWikiLeaks情報を新聞記事で報じられた大統領夫人がその新聞社を訴えたからだという。

　この決定から1時間もしないでAnonymousは攻撃ツールキット「Low Orbit Ion Cannon（LOIC）」が配布され、大統領の所属政党のWebサイトがダウンさせられた。おそらく本来のAnonymous関係者でなく、ノンポリの300人に満たない個人ユーザーが、政府組織のWebサイトを攻撃できてしまったのだ。

スピア攻撃への対抗策

　最後に、標的型攻撃（スピア攻撃）関連の話題を紹介しよう。

　攻撃対象を絞り込んでじっくする標的型攻撃と聞くと、特殊な手口を使っているように感じるかもしれない。ただ英ソフォスは、これを誤解だとしている（「Targeted attacks - going beyond the technicalities」）。技術面では「従来」の攻撃と変わりないという。

　極めて巧妙な手法や技術を使うスピア攻撃も存在するが、「クールな上着」を取り除けば普通の攻撃と同じセキュリティホールやルートキット、トロイの木馬を使っていると分かる。限定的な攻撃を実行するために、かつて成功したスピア攻撃に少しだけ手を加え、「一般的」なツールを利用している例も多いそうだ。

　このようなスピア攻撃に対抗する方策として、ソフォスは技術ばかりに目を向けいてはいけないとアドバイスする。ソーシャルエンジニアリング的な手口を使う攻撃と同様、セキュリティにおける最大の弱点である人間に注目すべきという。もちろんセキュリティシステムの多重化も重要だが、適切に維持し常に調整して優れた防衛体制を構築することが欠かせない。ただし、セキュリティ技術に費やすのと同等のコストを業務プロセスなどの分析にかける必要がある。