米Websenseは現地時間8月7日,新しいタイプのトロイの木馬(悪質なプログラム)を確認したとして注意を呼びかけた。盗んだ個人情報(パスワードなど)をICMP(Internet Control Message Protocol)で外部に送信することが特徴。情報漏えい対策のためにフィルタリングなどを実施している企業/組織でも見逃す恐れがあるという。

 同社が確認したトロイの木馬は,実行されるとInternet Explorer(IE)のBHO(ブラウザ・ヘルパー・オブジェクト,IEの機能を拡張するためのアドオン・プログラム)として動作し,ユーザーが特定のサイト(銀行サイトなど)へアクセスするのを待つ。そして,該当サイトへユーザーが送信した情報を取得して,攻撃者のサイトへ送信する。

 このような挙動をするトロイの木馬はめずらしくない。今回のトロイの木馬が特徴的なのは,取得した個人情報をICMPのEcho要求パケット---すなわち,pingコマンドが送信するパケット---のデータ部に仕込んで送信すること。個人情報は単純なXOR(排他的論理輪)アルゴリズムでエンコードしてからデータ部に仕込む。

 一方,“一般的な”トロイの木馬は,メールやHTTP,FTPなどで個人情報を外部へ送信する。このため情報漏えいに備えて,これらのプロトコルをフィルタリングしている企業/組織でも,今回のトロイの木馬が送信するデータは正当なpingコマンドによるデータに見えるので,見逃す恐れがあるという。

 同社では,今回確認したトロイの木馬を感染させたマシンでドイツ銀行(Deutsche Bank)のSSLサイトにアカウント情報を送信し,その挙動を確認したとする。送信先がSSLサイトでも,トロイの木馬は暗号化される前に情報をキャプチャして送信するので,入力した情報は“きちんと”攻撃者のサイトへ送信されたという。

米Websenseの情報