前回は、インターネットバンキングを狙う脅威の変遷を振り返るとともに、ボットネット「Zeus」について取り上げた。第2回目となる本稿では、現在、世界中のインターネットバンキングユーザーにとって大きな脅威となっている最新の攻撃について述べていくことにする。

自身を巧みに隠ぺい、あらゆる情報を盗む「CARBERP」

 インターネットバンキング関連の脅威としてボットネット「Zeus」が猛威を振るう中で、さらに別の不正プログラムが情報収集型サイバー犯罪の先鋭として登場した。「TROJ_CARBERP.A」(※1)として検出されるこの不正プログラムは、コンピュータに侵入後、管理者権限が必要ないディレクトリーに、自身のコピーと自身の動作に必要なファイルを作成する。この方法により、Windows 7やWindows Vistaといった最新のOSに搭載されている「ユーザーアカウント制御」(UAC)による検知を避けることができる。さらにまた、この不正プログラムは、<スタートアップ>フォルダーや<Application Data>フォルダー内にファイルを作成し、レジストリ値の追加や変更などは行わない。通常、<スタートアップ>フォルダーや<Application Data>フォルダー内にファイルが作成された場合、比較的簡単に発見することができるが、この不正プログラムは、それを避けるため自身を隠ぺいするルートキット機能を備えている。

 こうした隠ぺいの手口もさることながら、この不正プログラムに関して特に注意すべき脅威は、インターネット通信に使用される "WININET.DLL" 内の特定のAPIをフックすることである。それにより、感染したコンピュータ上でのユーザーによるインターネット閲覧活動を監視する。同様に、コマンド&コントロール(C&C)サーバーに接続してファイルをダウンロードしたり、感染したコンピュータ上で実行中のプロセスの一覧を送信したり、任意のコマンドを受信したりといった活動にも注意が必要である。これらの活動を駆使すれば、サイバー犯罪者は、感染したコンピュータからインターネットバンキングの口座情報をはじめ、さまざまな情報を自由に入手することが可能になるからである。

金融関係の情報を収集する「FEODO」

 ワームに分類される「WORM_FEODO.A」(※2)も、インターネットバンキングを狙う不正プログラムとして注目される。通常、ワームといえば、その感染活動の巧妙さで注目されるが、このワームは、リムーバブルドライブ内に自身のコピーを作成するだけで特に目新しいところはない。それよりも、感染したコンピュータ内でユーザーのInternet Explorerによるインターネット閲覧活動を監視したり、銀行や金融関係の情報を収集したりする点に特徴がある。こうした活動は、むしろスパイウエアや情報収集型の不正プログラムが行うものであり、何よりも「ZBOT」ファミリーの不正活動を思い起こさせる。実際、収集された情報をC&Cサーバーに送信する点まで非常によく似ている。

 実際、この「WORM_FEODO.A」は、ボットネットマスター(ボットネットを操作するサイバー犯罪者)が特定のWebサイトを監視する際に便利な機能を複数備えている。まず、感染したコンピュータのユーザーが特定のWebサイトを閲覧した際、ユーザーがそのWebサイト上で入力した個人情報などをC&Cサーバーに送信することができる。また、「WORM_FEODO.A」は、特定のインターネットバンキングサイトにアクセスした際に、そのサイトから読み出されるHTMLファイル(キャッシュ)に不正なコードを挿入する。このコードが実行されると、表示されるインターネットバンキングのWebページに、元々は存在しなかったID/パスワードの入力枠を作成。ここに入力された情報は、サイバー犯罪者の元へ送信される。さらに、ブラウザーによる閲覧活動を監視する際、WebページのHTML情報をそのまま収集する点も特筆すべきだろう。ログイン後のHTML情報も収集できるため、サイバー犯罪者は、本物そっくりの偽サイトを簡単に作成し、あたかも本当の取引を行っているように見せかけながら個人情報などを入手することが可能となる。

「ZeuS」に対抗するツールキット「SpyEye」

 もう一つ、不正プログラム作成ツールキットとしては、「ツールキット『ZeuS』キラー」の異名で知られたツールキット「SpyEye」が挙げられる。トレンドラボが「SpyEye」関連のC&Cサーバーを調査したところ、このツールキット「SpyEye」によるボットネットを形成しているボット(ゾンビPC)は、そのほとんどがポーランドに位置していた(※3)。さらなる調査により、このツールキットのインタフェースは、「CN 1」または「Main Access Panel」(メインアクセスパネル)と呼ばれる部分と、「SYN 1」または「Formgrabber Access Panel」(フォーム略奪アクセスパネル)という部分との二つに分かれていることがわかった。メインアクセスパネルは、ボットの量的な推移や国別分布がわかるようになっており(※4)、フォーム略奪アクセスパネルは、ボットを操るために使われるようである(※5)。

図1●「SpyEye」のメインアクセスパネル
[画像のクリックで拡大表示]

図2●「SpyEye」のフォーム略奪アクセスパネル
[画像のクリックで拡大表示]

 実際、ツールキット「SpyEye」に備わっているボット操作用コントロールパネルは、いわゆるボットマスターのニーズに応えるための様々な機能を備えている。このコントールパネルは、ボットマスターがボットネットから収集したデータを使って金銭を入手したり、収集されたFTPのID/パスワードを介して他のコンピュータへの侵入を試みたりする際に便利なように作られている。これらの機能からしても、ツールキット「SpyEye」によるボットネットがインターネットバンキングへ及ぼす脅威は、まさしくツールキット「ZeuS」およびボットネット「ZBOT」に対しての強力なライバルであるといえるだろう。