EMCジャパンRSA事業本部(旧RSAセキュリティ)は2012年8月2日、フィッシング詐欺の実態を独自に分析した月次リポート「マンスリーAFCCニュース」を発表した。同社の水村明博プリンシパル マーケティング・プログラムマネージャー(写真)は「ブラックハット対ホワイトハットの攻防が激化している。ブラックハットは不正プログラムの改良に努めており、極めて精巧で先進的な『トロイの木馬』の開発に成功している」と説明した。
ブラックハットとは、悪玉ハッカーやサイバー犯罪者を指す。ホワイトハットは、RSA事業本部のようなセキュリティ事業者、政府のセキュリティ関連機関、警察などのことだ。
ブラックハットとホワイトハットの“いたちごっこ”は昔からある。ただしRSA事業本部の分析によれば、最近の傾向として、ブラックハットが開発する「トロイの木馬」(ネットバンキングのID/パスワードやクレジットカード番号などを詐取することを目的とした不正プログラム)に技術革新が見られるという。
具体的には2011年秋以降、5つの新機能に対応した「トロイの木馬」が急速に増えている。(1)仮想マシンの回避、(2)リサーチツールの破壊、(3)内部文字列の暗号化、(4)設定ファイルに対するデジタル署名、(5)部外者をブロックするためのブラックリスト、の5つである。
RSA事業本部などホワイトハット側が「トロイの木馬」の検体を入手した場合、不正な動作をしては困る業務用パソコンではなく、実験用の「仮想マシン」上で動作させて挙動を調べる。ところが(1)の機能を備えた「トロイの木馬」は、マシン環境を自己判定し、仮想マシンの場合はスリープモード(冬眠状態)になるようにプログラムされているため、挙動が分からない。(3)の機能を備えていると、「トロイの木馬」を解析しようとしても「暗号化された通常のプログラム」にしか見えず、不正が判明しづらい。
ブラックハットのコミュニティーでは、各種「トロイの木馬」がフィッシング詐欺のための“道具”として流通している。著名な「トロイの木馬」のうち、Citadelは5機能を全て実装済みで、Zeusは(5)以外の4機能を実装。他の「トロイの木馬」もブラックコミュニティー内部で急速にバージョンアップが進んでいるという。水村氏は「Citadelの最新型は我々としても発見と解析がかなり難しい」と指摘。対抗技術の開発を進めるとしている。
[EMCジャパンRSA事業本部のマンスリーAFCCニュース]
