ウェブセンス、Yahoo! WebメールのCAPTCHA認証を数分で破れるマルウェアを発見
感染PCをプロキシとして使い、認証を破ってアカウントを作成
米国Yahoo!のWebメール・サービスで使われているCAPTCHA認証を数回の試行で破れると見られるマルウェア・エンジンが発見された。
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)認証を破ろうとするマルウェアは、新しいものではない。この認証が10年近く前に初めて実装されて以来、こうしたマルウェアとの戦いが続けられてきた。だが、今回発見されたマルウェア・エンジンは、ひそかに素早くこの認証を破るという点が特徴だ。
セキュリティ・ベンダーの米国Websenseは1月30日、トロイの木馬型マルウェア「Cridex」の一部として動作していることを同社が発見したマルウェア・エンジンが、Yahoo!のCAPTCHAプロセスを効果的に破ることを示した動画を公式ブログで公開した。Cridexも従来からあるタイプのマルウェアだが、被害者のPCからオンライン・バンクやソーシャル・メディア・サイトのログイン情報を集めようとする危険なものだ。盗んだデータは指令(C&C)サーバにアップロードするようになっている。
Cridexはその点で、銀行などのサイトを狙う「Zeus」のような、より歴史の長いマルウェアに似ている。しかし、どのようなマルウェアでも、自身を拡散する方法が重要な要素だ。Websenseが発見したCridexシステムは、感染PCをプロキシとして使って新規Webメール・アカウントを作成し、スパムを配信することで自身を拡散する。
CridexのWebメール要素は、ダミー・データを使って登録フォームを記入し、Yahoo!のCAPTCHA画面のスナップショットをリモート・クラッキング・サーバに送信する。このサーバがその画面のテキストを判読しようとする。
マルウェアは、このリモート・サーバから正しいデータが返され、CAPTCHA認証が成功するまで、リモート・サーバに判読の試行を繰り返させる。Websenseが行ったテストでは、マルウェアは5回の試行失敗を経て正しいデータを得た。多数の感染マシンを動員してこの作業を行えば、短時間で膨大なWebメール・アカウントを作成し、スパムをばらまくことが可能になる。
(John E Dunn/Techworld.com)
