［欧州］
銀行口座情報を狙う危険なプログラムが暗躍──複数の専門家が警告

（2006年03月22日）

　「銀行口座などの情報を盗み出すきわめで危険度の高い悪質なトロイの木馬プログラムが世界の何十万台ものコンピュータにひそかに埋め込まれている」と、複数のセキュリティ研究者が指摘している。

　危険性を警告するセキュリティ研究者の1人はベリサインのアイディフェンス部門で即応チームのディレクターを務めるケン・ダナム氏である。

　同氏は、「（このプログラムは）かねてから懸念されていた危険性の高い脅威の1つであり、とても見つけるのが難しい。最近は、派手に攻撃を仕掛けるのではなく、ユーザーに気づかれないように巧みな攻撃を仕掛けるケースが多くなっている。これもそうした例の1つだ」と指摘する。

　ダナム氏によると、攻撃者は数週間前から、英国、スペイン、ドイツなど欧州の大手銀行の顧客を主なターゲットに、偽装サイトへのアクセスを促す電子メールを何十万通も送付し続けているという。

　偽装サイトにアクセスすると、Windows Metafile（WMF）のエクスプロイトを使って、「MetaFisher」（Spy-AgentあるいはPWSとも呼ばれる）というトロイの木馬プログラムが攻撃対象のコンピュータ上にダウンロードされる。このプログラムは、攻撃対象のコンピュータから銀行口座や個人の情報を収集し、リモート・サーバに転送する。

　サンベルト・ソフトウェア（米国フロリダ州クリアウォーター）の研究開発担当バイスプレジデント、エリック・サイト氏によると、MetaFisherが従来のトロイの木馬プログラムと大きく異なるのは、コントロールに使われている指揮制御サーバがきわめて高度な技術で構築されていることにあるという。

　「トロイの木馬プログラムが、データを収集したり、少数のコマンドをボット・プログラムに送ったりするWebベースのバックエンドを伴っている例は、これまでにも多く見られたが、MetaFisherの管理インタフェースは、企業のIT部門が管理・運用するシステム並みに精巧に作られている」（サイト同氏）

　ダナム氏によると、MetaFisherでは、PHPベースのWebサイトを感染の追跡や、スクリプトおよび変数の管理に使用する。また、クエリ・ルーチンも用意されており、盗み出したデータをフィルタリングして、容易にユーザーのキー操作を記録するキーロガーを見つけたり、特定のキーワードに対応するアカウント・データを探したりする。

　さらに、指揮制御サーバは、攻撃者がボット・プログラムの行動を感染先システムから得た情報に基づいて修正する機能も備えているという。例えば、攻撃対象のコンピュータにダウンドロードされる攻撃命令や脆弱性につけ込むエクスプロイト・コードをOSに応じて変更することができる。

　ダナム氏もサイト氏も、現時点では、インストールされたMetaFisherボットの大多数が、英国、スペイン、ドイツの特定のバンキングWebサイトを訪問する感染先ユーザーのパスワードや個人ID番号などの情報を盗むようにプログラムされていると指摘している。

　サイト氏によると、盗んだ情報を収集する指揮制御サーバの1つがワシントンD.C.にあり、3月22日午後までの4日間に、約2万9,000の感染先コンピュータから56万1,857回ものデータ報告が行われたことがわかっている。同サイトを管理するインターネット・サービス・プロバイダーは今のところ、サイトの閉鎖を求める要請に応じていないという。

(ジャイクマー・ビジャヤン／Computerworld オンライン米国版)