求人サイトにトロイの木馬、個人情報盗む

[Brian Prince，eWEEK]

　米セキュリティ企業SecureWorksの研究者が、トロイの木馬Prgの亜種が4万6000人から盗んだデータのキャッシュを発見した。このトロイの木馬は、求人情報サイトのビジターから個人情報を盗むのに利用されていた。

　同社の専門家は、このデータキャッシュには銀行口座番号やクレジットカード番号、社会保障番号、パスワードが含まれていたとしている。被害者は過去3カ月間にMonster.comなどの人気の求人情報サイトの広告に――多くの場合、何度も――感染した。

　この攻撃を仕掛けた人物は、これらのサイト上に広告を掲示し、その広告にトロイの木馬を仕込んだ。ユーザーがこうした不正な広告を閲覧するかクリックすると、そのPCが感染し、ユーザーがブラウザに入力したすべての情報（SSLで保護されたサイトに届く前に入力された金融情報など）が攻撃者のサーバに送られると、SecureWorksの研究者ドン・ジャクソン氏は説明する。

　問題のデータキャッシュは、「car group」と呼ばれる組織が運営しているとジャクソン氏は語る。この組織は今回の攻撃に関連する12台のサーバを動かしていると考えられているという。Car Groupという名前は、攻撃に「Ford」や「Mercedes」などの車の名前を使っていることから付いた。さらに、世界各地にある8台のサーバが、Prgが盗んだデータを収集し、格納している。

　「ここから示されるのは、現時点での拡散状況、SecureWorksなどこの種の攻撃を追跡する組織が発見したデータキャッシュの総数の点で、Prgが世界トップ2のトロイの木馬の1つだということだ」（同氏）

　ウイルス対策ベンダー各社は、このトロイの木馬に対処するファイルベースのシグネチャを作成中だとしている。ただ数バイトのコードを書き換えれば、このシグネチャを容易に回避できる。

　「このトロイの木馬は独自のパッカーを利用し、コードを圧縮して変更している」とジャクソン氏は説明する。「このパッカーはこのトロイの木馬向けに独自に作られたものだ。実行可能ファイルを作る開発キットは命令の置き換えや、単純なタスク向けの長い文字列の命令、ガベージコードやヌル演算の組み入れに優れ、ウイルス対策製品には手強い相手だ。ウイルス対策製品はこれを根絶できていない。ファイルごとになら確実に特定できるのだが」

　Prgはwnspoemというトロイの木馬の亜種のようだ。wnspoemは昨年後半にSecureScienceが発見し、マイケル・ライ氏が分析した。

　ジャクソン氏によると、多くの人は5〜6回感染しているという。コンピュータにパッチが当てられておらず、また彼らはどのサイトが危険なのか知らないからだ。問題の広告は「Icepack」という不正コードにつながっており、これはPCのさまざまな古い脆弱性を探すと同氏は付け加えた。

　「ある人は100回も感染した。同じ感染IDを持つ人がいるのは、珍しいことではない」（同氏）

原文へのリンク