EMCジャパンのRSA事業本部は2013年7月31日、オンライン詐欺の最新動向を紹介する定例会を開催し、オンラインバンキングを狙うためのトロイの木馬として今後の主流となるかも知れないソフト「KINS」について報告した(写真1)。既に販売が終了している既存の主流ソフト「Citadel」を代替するものとなる。地下市場において、2013年7月から5000ドル程度で販売が始まっているという。
今回RSA事業本部が報告したKINSとは、トロイの木馬型のマルウエアを開発するためのツールキット。オンラインバンキングを狙うタイプのマルウエアを、プログラミングの知識を必要とせずに比較的簡単に作成できるという。こうした開発ツールには、Zeus、SpyEye、Ice9、Citadelなどがある。今回のKINSは「Zeusのように使いやすくCitadelのようにサポートが充実している」(同社)ことから、トロイの木馬の開発ツールとして今後の主流になる可能性があるとしている。
KINS登場の背景には、Citadelが2012年12月に販売を終了し、新規に購入できなくなったという状況がある。Citadelは2012年1月の登場以来、サポートの手厚さによって主流となった開発ツールだが、Citadelの代理人が地下市場のフォーラムから追放処分を受けたことで地下市場から撤退。このため、既にCitadelを購入済みのユーザーや、他のユーザー経由でCitadelを入手可能な者でない限り、Citadelを利用できない状況になっている。こうした中、ポストCitadelを望む声が高まっていたという。
サポートが充実、新たな台風の目となる恐れも
KINSの存在についてEMCジャパンのRSA事業本部が最初に確認したのは、2013年2月である。地下市場の掲示板などでKINSの名称とともに、新たな開発ツールの気配を捕捉した。その後、地下市場の監視を続けていたところ、7月に入ってから商用の開発ツールとして定価5000ドル程度で販売が開始されたことを確認したという。公式テクニカルサポートも始まっており、地下市場で高位にランクされる犯罪者たちからは多くの賞賛の声が上がっているという。
KINSは、既存の開発ツールであるSpyEyeと似通った特徴を持つという。例えば、プログラムの構造(メインファイルにDLLベースのプラグインを追加するアーキテクチャー)、HTMLインジェクション、米Trusteerのオンラインバンキング向けセキュリティソフト「Trusteer Rapport」への対策プラグイン、RDPによる遠隔操作、旧ソ連圏内での展開禁止(開発者の地元である旧ソ連圏内の警察の捜査意欲を抑制する効果がある)---といった特徴がある。
最新の開発環境への対応状況も進んでおり、Windows 8や64ビット版Windowsでも動作する。今後は、近いうちに、ハードディスクのブート領域(MBR、VBR)に感染するブートキット型マルウエアの開発機能を予定している。
米EMCのRSA事業本部では、ブログ「Speaking of Security」の7月23日付の記事で、初めてKINSについて紹介した。同記事中では、地下市場の掲示板におけるKINSのセールスのやり取りを英訳した画像イメージが掲載されている(写真2)。
