この攻撃の背景

マイクロブログサイト「Twitter」のボット作成ツールは、もともとジョークプログラムとして作成されたものですが、現在、インターネット上で自由に配布されています。このツールは、害にならないお楽しみを目的として設計されたものである一方、不正リモートユーザがこのツールを利用し、攻撃を実行することが可能です。

この脅威は、どのようにしてコンピュータに侵入しますか?

この脅威は、他のマルウェアのパッケージと共にコンポーネントとして、または、ユーザが悪意のあるWebサイトにアクセスした際に誤ってダウンロードすることによりコンピュータに侵入します。また、不正リモートユーザが意図的に、ユーザのコンピュータに実行ファイルをインストールするか、あるいは、ユーザにこのマルウェアのファイルをインストールし実行するように促すことにより、侵入する場合もあります。

この脅威は、どのような攻撃をユーザに仕掛けますか?

不正リモートユーザは、トレンドマイクロ製品で「TROJ_TWEBOT.BLD」および「TROJ_TWEBOT.STB」と検出されるファイルを利用し、Twitterのボットネットを構築することが可能です。Twitterボット作成ツールは、 "TwitterNET Builder.exe" および "stub.exe" の2つのファイルで構成されています。 "TwitterNET Builder.exe" は、このボット作成ツールのインターフェースで、ユーザに、Twitterで「フォロー」するためのユーザ名を入力し、「Build」ボタンをクリックするように促します。 "stub.exe" は、入力されたTwitterのユーザ名を読み込む基本ファイルとして機能します。

実行ファイル "Twitternet.exe" が感染コンピュータ上で実行されると、Twitter専用ボットを制御するこのボットサーバは、対象とするTwitterのページに定期的にアクセスし、不正リモートユーザから「つぶやき」として投稿されるコマンドを読み込み、実行します。

このボットサーバは、不正リモートユーザからのコマンドにより、インターネットから特定のファイルをダウンロードし実行する機能を備えています。また、非常に大きなサイズのUDPパケットを大量に送りつけるUDP攻撃を利用した、分散型サービス拒否(DDoS)攻撃ツールとしての活動の実行も可能です。さらに、Webページを開く、Windowsの音声合成 (TTS) 機能を利用したつぶやきの読み上げ、ボットサーバに関連したすべての活動の停止、および接続しているボットサーバの削除といった機能も備えています。

なぜこの攻撃は Noteworthy に分類されたのですか?

このボット作成ツールは、インターネット上で自由に利用することができるため、実質的には誰でもボットサーバを作成し、感染コンピュータ上でコマンドを実行することが可能です。不正リモートユーザがこのツールを利用し、重要な役割を担うコンピュータ上でDDoS攻撃を実行した場合、ユーザにとって脅威となります。また、「ダウンロード」のコマンドが、不正なファイルをダウンロードするために悪用されることも考えられます。

さらに、Twitterの登録ユーザ数は、少なくとも105,779,710人にのぼり、人気の高いマイクロブログサイトの1つであることも注目すべき点です。ボット作成ツールが広く普及した場合、何百万人ものユーザがこの攻撃の危険にさらされることとなります。

この攻撃から身を守るにはどうすればいいのですか?

このツールにより作成されるボットサーバは、感染活動機能も自動実行機能も備えていないものの、不正リモートユーザが手動でこのボットサーバをインストールしたり、また、ユーザにボットサーバのファイルの実行を促すことは可能です。

そのため、ユーザは、添付ファイルを開く際や見知らぬ送信元からのファイルを実行する際には、注意を払う必要があります。また、Twitterボットサーバは、実行ファイル "Twitternet.exe" が正確にインストールされない限り不正活動を実行することはないため、ユーザのコンピュータで不明な実行ファイルを実行する際には慎重になることも、この攻撃から身を守るのに有効です。

トレンドマイクロ製品をご利用のユーザは、クラウド型技術と連帯した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「ファイルレピュテーション」技術により、「TROJ_TWEBOT.BLD」および「TROJ_TWEBOT.STB」を検出し削除します。

また、トレンドマイクロ製品をご利用でないユーザは、無料サービス「Trend Micro HouseCall」を利用して、感染していないかどうか確認することをお勧めします。この無料サービスは、感染コンピュータからすべてのウイルス、トロイの木馬型マルウェア、ワーム、迷惑なWebブラウザのプラグイン、および他のマルウェアを特定し、除去します。