悪質なポップアップウィンドウ経由で自らをインストールし、通常暗号化されている金融情報を被害者のコンピュータから奪うトロイの木馬プログラムが発見されたと、セキュリティ研究者らが29日(米国時間)に警戒を呼びかけた。
ネットワーク脅威監視サイトInternet Storm Centerのディレクター、Marcus Sachsによると、このプログラムはCitibankやBarclays、Deutsche Bankといった50件近い金融機関サイトの監視リストを保持していて、感染したPCがこのリストに記載されているにアクセスするたびにアカウント名とパスワードを奪うという。
「このプログラムは、ユーザーがこれらのサイトのどこかにログインしたことを認識すると、キー入力を記録する」とSachsは述べている。こうした銀行サイトでは、どこもログインデータを保護するため、ブラウザ内蔵の暗号化機能を使用しているが、このトロイの木馬プログラムはブラウザソフトウェアで暗号化される前の情報を奪うことができる。「ブラウザは、ユーザーのキーボードとコンピュータの間のデータは暗号化しない。ウェブ上(に出ていく)情報を暗号化するだけだ」(Sachs)
Sachsによると、このトロイの木馬は「ある有名ドットコム企業の従業員」のコンピュータ」で最初に発見されたという。この被害者は、悪質なポップアップ広告経由で同プログラムをインストールされた模様だ。こうした悪質なポップアップ広告は、Internet Explorer(IE)にあるヘルパーファイル関連の欠陥を悪用して、自らをユーザーのPCにインストールする。今回のケースでは、コンピュータのセキュリティ設定のおかげで、インストールは失敗に終わった。Microsoftでは、同社がパッチをリリースするまでの間、IEユーザーはセキュリティ設定を「高」にしておくことを薦めている。
Internet Storm Centerの研究者らは、被害を受けたドットコム企業から提供されたこのトロイの木馬ファイル「img1big.gif」を週末を通して綿密に調査し、リバースエンジニアリングをおこなった結果、このプログラムが多数の銀行サイトをターゲットとし、こうした銀行の顧客のアカウント情報を盗もうとしていることが判明した。
コンピュータウイルスや遠隔制御が可能なトロイの木馬(RAT)で最近見られる傾向として、金銭目当ての目的が強まっていることが挙げられるが、このプログラムもその1つにあたる。セキュリティ専門家らは4月に、「ボットネットワーク」と呼ばれるゾンビ化された家庭用パソコンのネットワークについて、金融情報の窃盗や追跡不能なスパムの送信に利用される可能性があることから、SasserやMSBlastなどの有名ウイルスよりも危険だと警告していた。
「オンライン口座の利用などに必要な情報を集める手口としては、以前はナイジェリアの富豪などからのメールを装う詐欺が最も一般的だった」とウイルス対策会社SymantecのSecurity Response Centerでシニアマネージャーを務めるOliver Friedrichsは言う。Friedrichsによると、現在のトロイの木馬のような脅威が出現したのは、ここ数カ月のことだという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス