「SpyEye」を利用した攻撃により何が発生し、誰が影響を受けるのですか?

ツールキット「SpyEye」を駆使したサイバー犯罪とはどのようなものでしょうか。2011年1月から確認されているこのサイバー犯罪について、トレンドマイクロの調査でも、最近、その実態が明らかになってきました。この犯罪活動は、現在ロシアを拠点に活動する「Soldier」というハンドル名の人物が深く絡んでいるようであり、トレンドマイクロでも、2011年3月からこの人物の活動を注視してきました。

トレンドマイクロの調査では、この攻撃は、主に米国のユーザを標的にしており、米国の政府・軍関係の各種機関や大手企業などが影響を受けたことが分かっています。事実、この攻撃の影響を受けた全企業のうち、実に97%が米国企業となっています。他方、米国以外でも、英国やメキシコ、カナダ、インドといった国々を所在地としている企業が影響を受けていることも、今回の調査で確認しています。

なお、今回の「Soldier」が絡む攻撃において、ツールキット「SpyEye」で作成された不正プログラムは、トレンドマイクロ製品では「TSPY_SPYEYE.EXEI」として検出されます。

この攻撃による被害額はどのくらいでしょうか?

トレンドマイクロの調査では、この攻撃の背後で暗躍するサイバー犯罪者たちが複数の共犯者や「Money Mule(マネーミュール)」の手を借りながら、この6ヶ月間に320万米ドル(約2億4600万円)もの金額を得たことを確認しています。これは、1日あたり1万7000米ドル(約137万円)もの稼ぎになります。「マネーミュール」とは、サイバー犯罪者への送金に加担する「運び屋」のことで、サイバー犯罪たちは、様々な手段を駆使して彼らに話を持ちかけるようです。通常、収集された金は、そのままでは足がつきますので、複数の地域に在住する何人もの共犯者や運び屋の間を送金させ、こうした「マネーロンダリング(資金洗浄)」を経て、最終的にサイバー犯罪者本人に金が渡るようにします。これにより、このサイバー犯罪自体が、セキュリティや法制関連の調査や捜査によって突き止められるのを阻止するわけです。

図1:マネーロンダリングの手口

「TSPY_SPYEYE.EXEI」に感染すると、どのようなことが起こりますか?

この「TSPY_SPYEYE.EXEI」は、ユーザのコンピュータに侵入してインストールされると、まず環境設定ファイルのダウンロードを行ないます。この環境設定ファイル内には、Webサイトのリストが含まれており、この不正プログラムは、これをもとにこれらのWebサイトのモニタリングを行ないます。そしてユーザがこれらのWebサイトのいずれかを閲覧すると、この不正プログラムは、「Webインジェクション」や「キー操作情報のログ」といった手口を用いて、ユーザの個人情報を収集します。また、複数の特定のURLにも接続し、不正リモートユーザとの情報の送受信を行ないます。この不正プログラムは、これら特定のURLに接続した際、収集した個人情報だけでなく、オペレーティングシステム(OS)の情報、Internet Explorer (IE)のバージョン、アカウントの種類、言語識別子、タイムゾーンといった情報も、不正リモートユーザに送信します。

「SpyEye」とは具体的には何のことを指しますか?どのような状況で遭遇する可能性がありますか?

「SpyEye」とは、サイバー犯罪に利用されるツールキットのことを指し、市販されることを前提に作成されているため、アンダーグラウンド・マーケットで購入することも可能です。2009年にその存在が初めて確認されました。ユーザは、SEOポイズニングやスパムメール、不正プログラムへの感染など、様々な感染経路を介して「SpyEye」関連のサイバー犯罪に遭遇する可能性があります。とりわけ、「SpyEye」関連のサイバー犯罪といえば、主に情報収集であり、この攻撃の被害に見舞われたユーザは、個人情報や金融関係の情報など、各種の重要情報が収集される恐れがあります。

トレンドマイクロ製品では、「SpyEye」で作成されるバイナリファイルは、今回のような攻撃に関してはいずれも「TSPY_SPYEYE」の亜種として検出しています。2009年、このようなツールキット「SpyEye」の存在が初めて確認され、関連不正プログラムによる感染報告がなされた際、当時のセキュリティ業界では、多くの感染事例からその危険性が広く認知されていたツールキット「ZeuS」とも比較され、「強力なライバル登場」などと喧伝されていました。

「SpyEye」関連の不正プログラムは、どのようにして情報収集活動を行ないますか?

「SpyEye」に利用される不正プログラムは、コンピュータに侵入後、まず環境設定ファイルのダウンロードを行ないます。この環境設定ファイルには、この不正プログラムがモニタリングするWebサイトのリストが含まれています。そして、モニタリングされているWebサイトのいずれかにユーザがアクセスすると、「Webインジェクション」という手口が実行されます。この手口により、アクセスしているWebサイト上でユーザが入力した情報が収集されることになります。なお、この不正プログラムは、侵入したコンピュータからスクリーンショットを取得する機能も備えています。

図2:Webインジェクション攻撃とは

「Webインジェクション」とはどのような手口ですか?

この手口の場合、モニタリングされる複数の特定Webサイトに対して、HTMLコードを挿入されます。これにより、これらのサイト上に「入力欄」が追加されます。追加される「入力欄」のタイプは、サイバー犯罪者がどのような情報を収集したいかによって変わってきます。こうして、感染したコンピュータのユーザが、モニタリングされているサイトの1つを閲覧した際、追加された「入力欄」を目にし、リクエストされるままに情報を入力させられることになります。通常は、ログイン情報の入力箇所にATM関連情報やクレジットカード番号、メールアドレスなどの「入力欄」を追加することで、情報収集を行なうようです。

図3:正規サイトとWebインジェクション攻撃を受けたサイトのスクリーンショット

「SpyEye」を駆使した不正活動では、どのような情報が収集されますか?

基本的にはオンライン銀行に関連する情報が収集されますが、それ以外にも、「Facebook」や「Twitter」、「Yahoo!」、「Google」、「eBay」、「Amazon」といった各種Webサイトのアカウント情報、また、オペレーティングシステム関連の情報、Internet Explorer (IE)のバージョン、タイムゾーンなどの情報も収集されます。さらには、スクリーンショットを入手する機能も備えています。「SpyEye」が備えているこうした多彩な情報収集機能を駆使すれば、サイバー犯罪者は、ログインが必要なサイトへの認証を簡単に突破することもでき、またオンライン銀行関連の情報以外にも、様々なデータ収集を行なうことができます。こうして収集された情報は、各種の詐欺行為に活用されたり、アンダーグラウンド・マーケットで売りさばかれたりします。

「SpyEye」に注意しなければならない理由は何でしょうか?

「SpyEye」に関連する不正プログラムは、いずれの亜種も、「情報収集型不正プログラム」として、ユーザのログイン情報を収集し、さらに収集した情報を悪用して、ユーザに気づかれずにオンライン送金などを不正に行ないます。特に「Webインジェクション」の手口により、ユーザは、何も知らないままに自身が入力した個人情報をサイバー犯罪者へ手渡してしまうことにもなります。こうして収集された情報は、アンダーグラウンド・マーケットで売りさばかれ、さらなる不正活動に悪用される恐れもあります。また、「SpyEye」が危険なツールキットとして広く認知されている点も注意が必要です。このツールキットは、販売目的でも作成されており、アンダーグラウンド・マーケットで購入することも可能であり、「ユーザの大事なお金を巻き上げる」・「不正に情報収集を行なう」などの犯罪行為を企んでいる者であれば誰でも、技術的な知識に長けていなくても、このツールを駆使した高度なサイバー犯罪を実行することができるからです。

「SpyEye」関連の攻撃は、個人ユーザや中小企業を標的にしていることで知られていましたが、今回の調査からも、実際は、大企業や政府系の機関等も影響を受けていることが分かっています。この理由としては、こうした大企業の社員や政府系機関の職員たちは、社内もしくは組織内のネットワークを利用してオンライン銀行の個人口座を利用している可能性が考えられます。こうしてあらゆる企業や組織のセキュリティが侵害されることになり、収集された情報は、サイバー犯罪たちによる標的型攻撃に利用されることになります。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Webレピュテーション」技術により、「SpyEye」に関連する不正プログラムがダウンロードされてくるような不正なWebサイトへのアクセスを未然にブロックします。また、今回の不正活動に利用される環境設定ファイルのダウンロード先のURLもブロックします。「ファイル・レピュテーション」技術は、万が一、ユーザのコンピュータに「SpyEye」に関連する不正プログラムが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。さらに、スパムメールを介して侵入してくる「SpyEye」に関連する不正プログラムに関しても、「Eメールレピュテーション」技術によりユーザのメールボックスに届くのを未然に防ぎます。

Trend Micro Threat Discovery Appliance(TDA)」は、ネットワーク上を流れるトラフィックを常時監視するセンサー装置として、「SpyEye」に関連する不正プログラムがコマンド&コントロール(C&C)サーバとのコミュニケーションを行なったり、収集した情報をアップロードしたりする挙動の不正パケットを確実にブロックし、ユーザの企業内ネットワークを安全に保護します。

一般のユーザは、無償のマルウェア検出ツール「Trend Micro HouseCall」を利用することで、コンピュータをスキャンし、検出された脅威を削除することができます。また、トレンドマイクロ製品に搭載された「Generic Clean機能」は、ダメージクリーンナップエンジンの新しい拡張機能で最新のダメージクリーンナップテンプレートの配信されるまでの間、応急措置的にシステム復旧を行うことが可能となります。

ユーザ側としても、個人情報をオンラインで扱う際には細心の注意が必要です。可能であれば、業務上のネットワークでは決して個人のオンライン銀行のアカウントにはアクセスするべきではないでしょう。また、業務上で各種の機密情報を取り扱う際も、ファイアウォール、ゲートウェイ、メッセージング、ネットワーク、サーバ、エンドポイント、そして社外に持ち出せるモバイル機器など、あらゆる階層でのセキュリティ管理を確実に実施しておくことも不可欠となります。

なお、2011年9月の時点でも、「SpyEye」に関連することが判明したC&Cサーバに関して、トレンドマイクロの専門家が各種の法的規制および取締機関とも連携し、ブロック等の措置に取り組んでいます。