GoogleグループやTwitterを悪用するトロイの木馬が出現|セキュリティ・マネジメント|トピックス|Computerworld

　マルウェア開発者らは、以前にまして秘密裏かつ巧妙な攻撃を生み出しつつある。マルウェアが検出されないように、「Googleグループ」や「Twitter」といった正規のWeb 2.0サイトに、不正なコマンドや制御命令を隠す試みを始めているのだ。

　セキュリティ・ベンダーの米国Symantecは先日、「escape2sun」と名付けられた個人的なGoogleグループのニュースグループ・サイトを閲覧するようプログラムされたトロイの木馬を発見した。このトロイの木馬は、暗号化された命令やソフトウェア・アップデートをも同サイトから入手する仕組みになっていた。

　犯罪者たちはこうした「Command and Control（C＆C）」を利用して、ハッキング済みのゾンビPCとの通信経路を確保したり、自前の悪質なソフトウェアをアップデートしたりしている。Symantec Security Responseのディレクターを務めるゲリー・イーガン（Gerry Egan）氏によれば、犯罪者らは攻撃命令などをRSSに埋め込み、それをTwitterのメッセージとして流しているのだという。「社会に浸透しているソーシャル・メディア的な双方向コミュニケーション・ツールを悪用し、コマンドや制御命令を隠匿する傾向が強くなっている」（イーガン氏）。

　Googleグループを使った仕組みはまだ未完成のようだが、最近のセキュリティ・ソフトウェアは従来のコマンドおよび制御メカニズムを比較的簡単に看破できるため、今後は積極的にソーシャル・メディア・サイトを悪質な意図で活用する犯罪者が増えるだろうと、イーガン氏は予測している。「マルウェア開発者たちは、セキュリティ・ベンダーの戦術に分が悪いことを認識し、ひと味違った方法を試そうとしている」（イーガン氏）。

　大半のサイバー犯罪者が現在利用している手法は、IRC（Internet Relay Chat）サーバを経由してゾンビPCと通信したり、大昔に作られた見つかりにくいWebサイトにコマンドを埋め込んだりするというものだ。だが、システム管理者がこういったコミュニケーションを効率的に検出して遮断できるようになったため、犯罪者は「コマンドや制御メッセージを正規のトラフィックの中に隠し、そのトラフィックの存在自体に（拒否の）フラグを立てさせないよう画策している」（イーガン氏）という。システム管理者にとってIRCへのアクセスをブロックするのは実に簡単だが、TwitterやGoogleへのアクセスとなると話は別だ。一般的なWebアクセスと変わりがないからである。

　Googleグループを悪用するトロイの木馬は台湾で作成され、将来的な攻撃に備えてひそかに情報を収集していると考えられている。Googleグループに関するデータによると、このトロイの木馬は2008年11月に開発されてから爆発的に広まる動きは見せていないようだ。Symantecは9月11日のブログ記事に、「この手のトロイの木馬は、匿名性と用意周到さがきわめて重要な産業スパイのために開発された可能性がある」と記している。