30分でできるサイバー犯罪体験――トロイの木馬でPCを乗っ取ってみた：McAfee FOCUS JAPAN 2012（2/2 ページ）

[ITmedia]

ターゲットのPCを遠隔操作してみる

　うまくターゲットのPC（Victim）にトロイの木馬を仕込むことができた。こうなればSharKの管理コンソールからターゲットのPCをほぼ無制限にコントロールできるようになる。Victimのマシンスペックをはじめ、インストールされているアプリケーションや、現在実行されているプロセス／サービスも確認できるうえ、ファイルはもちろん、レジストリへのフルアクセスも可能だ。

　画面左の「DOS Shell」では、ターゲットのCMDシェルにアクセスできる。試しに「start notepad」「start calc」などと打ち込んでみると、Victim側のデスクトップでメモ帳と計算機が起動する。きちんと動作しているようだ。

ターゲットのPCにインストールされているアプリケーションを確認（写真＝左）。試しに「DOS Shell」のウインドウでメモ帳と計算機を起動（写真＝中央）。すると、Victim側でメモ帳と計算機が起動した（写真＝右）

現在ターゲット側で動いているプロセスやサービスを確認できる（写真＝左／中央）。レジストリの編集も可能だ（写真＝右）

　このように、マシンの制御を完全に奪われた状態では、自分（被害者）のPCがさまざまなサイバー犯罪に利用されてしまう。ここでは、オンラインショッピングなどで利用するアカウントを盗むために、キーロガーを使ってみた。Victim（被害者）側でWebブラウザを立ち上げ、架空のオンラインバンキングにアクセスし、アカウントとパスワードを入力。すると、攻撃者のコンソールにはどのキーが押されたのかが記録されていく。このほか、被害者側のPCに表示されている画面をキャプチャしたり、PCにWebカメラが搭載されていれば、使用者のリアルな顔写真を記録することさえできる（今回のデモは仮想環境だったのでWebカメラのドライバがなくて断念）。

　また、ダウンローダーで、いつでもトロイの木馬に新しいウイルスを追加できるのもポイントだ。ソフトウェアがバージョンアップするように、マルウェアもバージョンアップし、常に最新で効果的な攻撃が行える。とりあえず潜伏させておけば、繰り返し預金を盗む、攻撃の踏み台にする、あるいは誰かになりすますなど、攻撃者の目的にあわせてマルウェアを送り込めるというわけだ。

オンライン取引を盗聴する想定。被害者が銀行のサイトでアカウント名とパスワードを入力すると（写真＝左）、攻撃者側のコンソールには、いつどのアプリケーションでどのキーが押されたのか履歴が記録されていく（写真＝中央）。ダウンローダーを使えば、被害者に気付かれずに新しい機能をトロイの木馬に追加できる（写真＝右）

　以上、ここまでの体験プログラムは約30分ほどで終了した。環境の構築などはお膳立てされていたものの、ツールキットを使った操作という点では、通常のソフトウェアを使うのと変わらない印象だ。ブルース・スネル氏は「このようにサイバー犯罪が容易にできるようになったのも、現在の深刻な状況を生んでいる要因の1つだ」と指摘し、ある程度セキュリティへの投資ができる企業ではなく、個人においてこそリスクは高まっていると警鐘を鳴らす。

　こうした被害にあわないためには、「どんなに面倒でもアプリケーションのパッチをあて、Windows Updateを実行し、セキュリティソフトを必ず更新すること。そして何よりも重要なのは、セキュリティ意識を高めるための教育、啓蒙だ」と語った。