米Finjan Softwareは2007年12月10日(現地時間)に公開した同社のレポートの中で,「“Trojan 2.0”(トロイの木馬2.0)と呼ぶべき新しい手口が今後使われるようになる」と警告した。インターネット上で提供されているブログや掲示板,RSSフィードといったWeb 2.0型サービスをインフラとして使うことで,監視の目を潜り抜けるというものだ。
現在,犯罪者は家庭や企業のパソコンに,トロイの木馬を埋め込むことにやっきになっている。一度,埋め込むことができれば,ここから個人情報や企業の機密情報を盗み出したり,ユーザーのキー入力からクレジット番号を盗んだり,迷惑メール送信の踏み台として使ったりできる。
従来,犯罪者はパソコンに埋め込まれたトロイの木馬に対し,IRC(インターネット・リレー・チャット)のプロトコルを使って命令与えたり,情報を取得したりしていた。これに企業やウイルス対策ベンダーは,IRCのプロトコルをブロックすることで対処した。
次に犯罪者が狙ったのが,HTTPプロトコルを使ってトロイの木馬と通信する手法である。これも,セキュリティ対策ソフトベンダーなどによって,命令や情報を盗み出すために使われるWebサーバーがリスト化され,ブロックされるようになってきた。
そこで「犯罪者はこれを逃れるためにWeb 2.0のプラットフォームを使った攻撃にシフトする」というのがFinjanの見方だ。一例として,RSSフィードにトロイの木馬への命令を埋め込む。これをチェックしたトロイの木馬はこの命令に沿って動作する。パソコンで収集したデータを犯罪者に送る場合は,トロイの木馬がブログにアップロードする。RSSフィードやブログのサービスは既にインターネット上で提供されているものを使える。ドメイン名やIPアドレスは正規のものなので,URLのフィルタリングで排除するのは難しい。
また,同社はインターネット上のサービスを複数まとめて別のアプリケーションとして提供する「マッシュアップ」を使うことで,悪意あるサービスを正規のドメインから提供される危険性にも言及している。
