ITmedia NEWS > セキュリティ >
ニュース
» 2007年08月20日 14時00分 UPDATE

求人サイトにトロイの木馬、個人情報盗む

Monster.comなどの求人情報サイトにトロイの木馬入り広告が仕掛けられ、4万6000人が個人情報を盗まれた。

[Brian Prince,eWEEK]
eWEEK

 米セキュリティ企業SecureWorksの研究者が、トロイの木馬Prgの亜種が4万6000人から盗んだデータのキャッシュを発見した。このトロイの木馬は、求人情報サイトのビジターから個人情報を盗むのに利用されていた。

 同社の専門家は、このデータキャッシュには銀行口座番号やクレジットカード番号、社会保障番号、パスワードが含まれていたとしている。被害者は過去3カ月間にMonster.comなどの人気の求人情報サイトの広告に――多くの場合、何度も――感染した。

 この攻撃を仕掛けた人物は、これらのサイト上に広告を掲示し、その広告にトロイの木馬を仕込んだ。ユーザーがこうした不正な広告を閲覧するかクリックすると、そのPCが感染し、ユーザーがブラウザに入力したすべての情報(SSLで保護されたサイトに届く前に入力された金融情報など)が攻撃者のサーバに送られると、SecureWorksの研究者ドン・ジャクソン氏は説明する。

 問題のデータキャッシュは、「car group」と呼ばれる組織が運営しているとジャクソン氏は語る。この組織は今回の攻撃に関連する12台のサーバを動かしていると考えられているという。Car Groupという名前は、攻撃に「Ford」や「Mercedes」などの車の名前を使っていることから付いた。さらに、世界各地にある8台のサーバが、Prgが盗んだデータを収集し、格納している。

 「ここから示されるのは、現時点での拡散状況、SecureWorksなどこの種の攻撃を追跡する組織が発見したデータキャッシュの総数の点で、Prgが世界トップ2のトロイの木馬の1つだということだ」(同氏)

 ウイルス対策ベンダー各社は、このトロイの木馬に対処するファイルベースのシグネチャを作成中だとしている。ただ数バイトのコードを書き換えれば、このシグネチャを容易に回避できる。

 「このトロイの木馬は独自のパッカーを利用し、コードを圧縮して変更している」とジャクソン氏は説明する。「このパッカーはこのトロイの木馬向けに独自に作られたものだ。実行可能ファイルを作る開発キットは命令の置き換えや、単純なタスク向けの長い文字列の命令、ガベージコードやヌル演算の組み入れに優れ、ウイルス対策製品には手強い相手だ。ウイルス対策製品はこれを根絶できていない。ファイルごとになら確実に特定できるのだが」

 Prgはwnspoemというトロイの木馬の亜種のようだ。wnspoemは昨年後半にSecureScienceが発見し、マイケル・ライ氏が分析した。

 ジャクソン氏によると、多くの人は5〜6回感染しているという。コンピュータにパッチが当てられておらず、また彼らはどのサイトが危険なのか知らないからだ。問題の広告は「Icepack」という不正コードにつながっており、これはPCのさまざまな古い脆弱性を探すと同氏は付け加えた。

 「ある人は100回も感染した。同じ感染IDを持つ人がいるのは、珍しいことではない」(同氏)

関連キーワード

トロイの木馬 | 広告 | ウイルス | 脆弱性


原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.