RSAセキュリティは2009年8月28日,定期説明会を開催し,企業のフィッシング対策の一環として,新たにトロイの木馬対策サービスを国内提供する予定であると発表した。フィッシング犯罪者がトロイの木馬を活用するために必要となるサーバーを検知して停止させる。米国ではすでに開始しているサービスであり,国内でも提供中のフィッシング・サイト停止サービス「RSA FraudAction」を補完する位置付け。
RSAセキュリティが新たに開始するトロイの木馬対策サービスを利用すると,トロイの木馬が活動するために必要な以下の3つのサーバーを検知して停止できるという。(1)トロイの木馬を被害者のパソコンに送り込む感染ポイント,(2)ID/パスワードなどの情報を収集するドロップ・ポイント,(3)トロイの木馬のアップデートや設定変更などを遠隔操作で実施するコントロール・ポイント,である。感染してしまったトロイの木馬を駆除するわけではないが,コントロール・ポイントの停止によって既知の脅威となるため,ウイルス対策ソフトによる検知/駆除が可能になる。
なお,トロイの木馬対策サービスは,フィッシング・サイト停止サービスのRSA FraudActionと同様に,金融機関などの企業が事前に契約して利用する有料サービスとなる。料金体系やサービスの詳細は,今後発表する予定としている。
トロイの木馬対策サービスを国内でも始める背景には,フィッシングを利用したオンライン詐欺の手口が巧妙化しているためだ。フィッシングとは,例えば偽装サイトへの誘導や正規Webサイトの改ざん,クライアント上のキーロガーなどによってID/パスワードなどのクレデンシャル情報を入力させて奪取する手段を指す。犯罪者の最近の傾向として,フィッシング・サイトのIPアドレスやクレデンシャル情報の最終的な送り先を見えにくくして,罪を犯しやすくなっているという。
ここ3カ月のセキュリティ動向を基にRSAセキュリティが7月にレポートを報告した。ここでも,典型的な手法の例として,トロイの木馬型のキーロガー「Zeus」の亜種と,オープンソースのIM(インスタント・メッセージング)である「Jabber」を組み合わせた犯罪を,トピックとして取り上げている。
このケースではまず,キーロガーにより,Webブラウザ上で入力したID/パスワードが情報収集サーバー上に蓄積される。ここで,情報収集サーバー上でIMを動作させることで,目標の金融機関に関するID/パスワードを入手したタイミングや,被害者が目標の金融機関にログインしたタイミングで,犯罪者にIM通知できる。手口としては古いものの,現在,流行している。
また,キーロガーとは異なるが,現在主流となっているフィッシング手法は,fast-flux型ボット・ネットを使った攻撃であるという。fast-flux型ボット・ネットとは,ボット・ネットを経由してフィッシング・サイトなどにアクセスさせることで,フィッシング・サイトなどのIPアドレスを見えにくくする手法を指す。RSAセキュリティによれば,2009年7月時点でfast-flux型は全体の61%(前月比で5%増)と,主流になっている。フィッシング集団最大手のRock Phish団も採用しているという。
