「スパイウエアの主流は,単に広告を表示するアドウエアから,パソコンを乗っ取ったり重要な情報を盗んだりする悪質なプログラムにシフトしている。配布方法や挙動も工夫を凝らしている。例えば当社が最近発見した『Rebery(レベリー)』は,セキュリティ・ベンダーにサンプルを入手されないように,1日あたりの感染数を制限していた」---。米Webroot SoftwareのCEO(最高経営責任者)であるDavid Moll(デビット・モール)氏は7月26日,ITproの取材に対して,スパイウエアのトレンドなどを解説した。
Webroot Softwareはスパイウエア対策ソフト「Spy Sweeper」などを開発販売するセキュリティ・ベンダー。Moll氏は,日本法人ウェブルート・ソフトウェアが8月1日に国内販売を開始する企業向け対策ソフト「Spy Sweeper Enterprise3.1」の記者発表会などに出席するために来日した(関連記事:ウェブルートが企業向け対策ソフト)。
Moll氏によれば,スパイウエアの主流は,2004年ごろまでは広告目的のプログラムだったが,現在では,犯罪目的の悪質なプログラムになっているという。その典型例として同氏は,同社が発見から対策までかかわったReberyを挙げる。
Reberyは,ユーザーが入力するパスワードなどを盗むスパイウエア。パソコンに感染しても,すぐには動き出さない。「潜んでいることをユーザーに知られないためだ」(Moll氏)。ユーザーが金融機関のWebサイトへアクセスするとReberyは動き出し,入力されたユーザー名や口座番号,パスワードだけを収集し,特定のFTPサイトへ送信する。同時に,マウスがクリックされたときのパソコン画面をキャプチャして送信する。ソフトウエア・キーボードなどへの入力情報を盗むためだと考えられる(関連記事:ソフトウエア・キーボードへの入力情報を盗む“キーロガー”出現)。
配布方法にも工夫を凝らしていた。Reberyを配布していたWebサイトは,WMF(Windowsメタファイル)のセキュリティ・ホールを悪用した。WMFのセキュリティ・ホールとは,2005年12月末に見つかったWindowsのセキュリティ・ホール(関連記事:Windowsにパッチ未公開の危険なセキュリティ・ホール)。セキュリティ・ホールが存在するWindowsマシンでは,細工が施された悪質サイトにアクセスするだけでスパイウエアなどに感染する恐れがある
2006年1月に修正パッチが公開されているものの,このセキュリティ・ホールを突くWebサイトは現在でも多数存在する(関連記事:Windowsの危険なセキュリティ・ホールをふさぐパッチが公開)。
また,感染させるReberyの数を1日あたり5000個に限定していた。Reberyの存在が広く知られないようにするためだという。「Reberyに感染したパソコンが増えれば,セキュリティ・ベンダーは検体を入手しやすくなり,対策ソフトで対応される可能性が高まる。また,Reberyの感染数が増えれば,Reberyが送信するトラフィック量も増えて異常を検知されやすくなる。これらを防ぐために,感染させるパソコンの台数を制限していた」(Moll氏)。その結果,ベンダーの対応は遅れ,Reberyは126カ国に感染を広げたという。
「いまや,スパイウエアは犯罪組織のツールの一つとなっている。このため現在では,リソース(金銭や重要な情報)が豊富な企業を主なターゲットにしている。私が聞いた話では,先月,南アフリカ共和国のある組織のITマネージャは,犯罪組織の命令で社内ネットワークにスパイウエアをばらまいた。拒否すれば,家族の命を奪うと脅迫されたという。ハリウッド映画のようだが現実の話だ。これは極端な例ではあるが,企業や組織は,スパイウエアという新しい脅威にさらされていることを認識すべきだ」(Moll氏)
