EMCジャパンのRSA事業本部は2012年5月30日、オンライン詐欺の最新動向を紹介する定例会を開催し、FaaS(Fraud as a Service、犯罪者向けのクラウドサービス)の新たな例として、中間者攻撃のためにボットネット(トロイの木馬に乗っ取られたパソコン群)を貸し出すサービスを発見したと発表した。このサービスを利用すれば、みずからマルウエアを作成したり広めたりすることなく、中間者攻撃を実施できる。

 今回発見したFaaSは、Webページに不正なHTMLを埋め込むタイプの中間者攻撃を実行するサービスである。ユーザー(犯罪者)は、中間者攻撃を仕掛けたい標的の条件(日本の、ある銀行の利用者、など)と、Webページに埋め込みたい不正コード(HTML)を登録するだけで、同サービスを利用できる。FaaSの提供事業者は、自身が管理しているボットネットのうち、ユーザーの条件に合致する標的に対して攻撃を仕掛ける。

 このタイプの中間者攻撃は、HTMLインジェクションと呼ばれる。攻撃対象者のパソコンの上でトロイの木馬型のマルウエアを動作させることによって、Webブラウザーが解釈/表示するWebコンテンツ(HTML)を書き換える。あらかじめ指定した金融機関などのURLにアクセスすると、自動的にページが書き換えられ、クレジットカード番号といった、犯罪者が取得したい情報の入力を促すフィールドが追加される仕組み。このフィールドに情報を入力すると、犯罪者のサーバーに情報が送られる。

 定例会ではまた、同社が直近(1カ月以内)に発見したトロイの木馬「eDead」を報告した。このマルウエアの動作は、日本人と韓国人がWebサイトの検索窓に入力した検索キーワードを収集するというもの。目的は不明である。キーワード収集の起動トリガーとなっているURLのリストが、日本と韓国の著名サイトに限られているという。