ZitMo攻撃再び、Windows Mobileもターゲットに

2011.03.10

　2011年に入ってから、モバイルに関連したセキュリティの話題が多い。セキュリティベンダーなどのブログにも、盛んにモバイル関連の記事が登場する。

　例えばロシアのカスペルスキーラボは、同社が運営するセキュリティ関連情報サイト「Securelist」で、大規模ボットネット「ZeuS」を用いたモバイル脅威「ZeuS in the Mobile」（ZitMo）の新たな事例を紹介している。

　この攻撃で狙われたのはポーランドING銀行の顧客。この際、複数のプラットフォーム用のマルウエアが使われた。Windows向けやSymbian OS向けに作られたトロイの木馬の亜種があったほか、Windows Mobileをターゲットにした新種も検出された。BlackBerry向けトロイの木馬の新たな亜種も検出したという。

　攻撃の手口は2010年9月末に発生した最初のZitMo攻撃によく似ている。ZeuSボットに感染したWindowsパソコンのユーザーに、認証用に必要だとして携帯電話番号を入力させ、その番号にショートメッセージを配信する。ところがショートメッセージには、各プラットフォームに対応したマルウエアをダウンロードさせるためのリンクが含まれている。モバイルデバイスに侵入したマルウエアは、認証コードなどの重要な情報を、攻撃者が設定した電話番号に送信する。

　カスペルスキーラボでは、このように新たなプラットフォームに対応したということは、サイバー犯罪者は活動を停止するつもりなどないことを意味するとしている。

モバイルセキュリティの強化には、ポリシーの見直しが必要

　モバイルセキュリティ関連では米マカフィーが、ポリシー見直しの必要性をブログで訴えている。従業員によるモバイル機器の利用が進む中で、企業がセキュリティを強化するにはポリシーそのものを現実に合わせて見直すべきだとする。

　従業員のモバイル利用では、個人所有のモバイル機器を職場に持ち込むこと、勤務中に私用アプリケーションやデータにアクセスすることなどが懸念される。さらにやっかいなのが、会社と個人のアプリケーションやデータを融合させた使い方だという。例えば、企業電子メールをGmailに転送してモバイルデバイスで確認するといったものだ。

　こうしたモバイル利用は取り締まりが難しい。しかも従業員教育には費用がかかる。そうなると、ポリシー自体と、ポリシーの適用方法を見直す必要がある。その際には、全従業員に共通したポリシーではなく、ユーザーの肩書きや評価、ユーザーの意図、ユーザーの立場や職種、規制環境など、個々の要素に応じたポリシーを構築することが重要だと、マカフィーはアドバイスしている。

Mac OS Xを狙うバックドア型トロイの木馬、開発段階か？

　三つめは、「Mac OS X」を狙ったバックドアの話題だ。英ソフォスが、新種のバックドア型トロイの木馬の出現を報告した。同社が「OSX/MusMinim-A」（MusMinim）と名付けた同マルウエアは現在ベータ段階とみられるが、米アップルの市場シェア拡大に目を向ける不正プログラム開発者が増えていることを示すものだと、ソフォスは注意を促している。

　ソフォスがMusMinimのサンプルを入手し分析した結果、このマルウエアは「Windows」を狙ったバックドア型トロイの木馬「darkComet」の亜種だと判断した。MusMinimは、再起動/システム終了/スリープのコマンド送信、任意のシェルコマンドの実行、再起動を促すメッセージのフルスクリーン表示といった機能を持つという。また、偽の管理者パスワードウインドウを表示し、パスワード情報を入力させようとする。

　このようなトロイの木馬は、海賊版ソフトウエアのダウンロードサイトやファイル交換サイトなどを通じて配信されていることが多い。また、Webブラウザやプラグインなどの脆弱性を突いて感染する可能性もあり、パッチを適用することが重要だとソフォスは強調している。

オーストラリア大手通信事業者を狙ったフィッシング詐欺

　最後はフィッシング詐欺。英ソフォスは、オーストラリアの通信事業者テルストラを狙った新たなフィッシング詐欺攻撃について紹介した。

　テルストラと子会社ビッグポンドからの通知を装ったメールが大量に送信されているのを観測したという。フィッシング攻撃のターゲットは、この数年間で変化している。米アンチフィッシング・ワーキング・グループの調査によると、2007年はフィッシング攻撃の約95％が金融サービス会社を狙ったものだった。しかし2010年にはその割合は38％に縮小し、決済サービス、オークションサイト、ISP、政府機関、SNSサイトなどへの攻撃が拡大している。

　テルストラは固定回線と携帯電話サービスの加入者1800万人以上を抱えるオーストラリア最大の通信事業者だ。スパムメッセージでは、口座認証あるいは決済処理で不備があったため情報を確認する必要があるとして、ユーザーにログイン手続きを行うよう求める。ユーザーがメッセージに掲載されているリンクをクリックすると偽装ログインページに誘導される。名前やパスワード、住所、クレジットカード情報などの機密データを盗み出すために作成されたページだが、本物のログインページに大変よく似せてあり、一般的なユーザーには判別がつきにくい。