ニュース
» 2007年08月20日 14時00分 UPDATE

求人サイトにトロイの木馬、個人情報盗む

Monster.comなどの求人情報サイトにトロイの木馬入り広告が仕掛けられ、4万6000人が個人情報を盗まれた。

[Brian Prince,eWEEK]
eWEEK

 米セキュリティ企業SecureWorksの研究者が、トロイの木馬Prgの亜種が4万6000人から盗んだデータのキャッシュを発見した。このトロイの木馬は、求人情報サイトのビジターから個人情報を盗むのに利用されていた。

 同社の専門家は、このデータキャッシュには銀行口座番号やクレジットカード番号、社会保障番号、パスワードが含まれていたとしている。被害者は過去3カ月間にMonster.comなどの人気の求人情報サイトの広告に――多くの場合、何度も――感染した。

 この攻撃を仕掛けた人物は、これらのサイト上に広告を掲示し、その広告にトロイの木馬を仕込んだ。ユーザーがこうした不正な広告を閲覧するかクリックすると、そのPCが感染し、ユーザーがブラウザに入力したすべての情報(SSLで保護されたサイトに届く前に入力された金融情報など)が攻撃者のサーバに送られると、SecureWorksの研究者ドン・ジャクソン氏は説明する。

 問題のデータキャッシュは、「car group」と呼ばれる組織が運営しているとジャクソン氏は語る。この組織は今回の攻撃に関連する12台のサーバを動かしていると考えられているという。Car Groupという名前は、攻撃に「Ford」や「Mercedes」などの車の名前を使っていることから付いた。さらに、世界各地にある8台のサーバが、Prgが盗んだデータを収集し、格納している。

 「ここから示されるのは、現時点での拡散状況、SecureWorksなどこの種の攻撃を追跡する組織が発見したデータキャッシュの総数の点で、Prgが世界トップ2のトロイの木馬の1つだということだ」(同氏)

 ウイルス対策ベンダー各社は、このトロイの木馬に対処するファイルベースのシグネチャを作成中だとしている。ただ数バイトのコードを書き換えれば、このシグネチャを容易に回避できる。

 「このトロイの木馬は独自のパッカーを利用し、コードを圧縮して変更している」とジャクソン氏は説明する。「このパッカーはこのトロイの木馬向けに独自に作られたものだ。実行可能ファイルを作る開発キットは命令の置き換えや、単純なタスク向けの長い文字列の命令、ガベージコードやヌル演算の組み入れに優れ、ウイルス対策製品には手強い相手だ。ウイルス対策製品はこれを根絶できていない。ファイルごとになら確実に特定できるのだが」

 Prgはwnspoemというトロイの木馬の亜種のようだ。wnspoemは昨年後半にSecureScienceが発見し、マイケル・ライ氏が分析した。

 ジャクソン氏によると、多くの人は5〜6回感染しているという。コンピュータにパッチが当てられておらず、また彼らはどのサイトが危険なのか知らないからだ。問題の広告は「Icepack」という不正コードにつながっており、これはPCのさまざまな古い脆弱性を探すと同氏は付け加えた。

 「ある人は100回も感染した。同じ感染IDを持つ人がいるのは、珍しいことではない」(同氏)

関連キーワード

トロイの木馬 | 広告 | ウイルス | 脆弱性


原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -