セキュリティ専門家は2013年8月後半、匿名通信システム「The Onion Router(TOR)」のトラフィック急増を確認しました。報告によると、この著しい急増は、「MEVADE」として知られているボットネットが自身の活動にTORのモジュールを採用したことに起因しているといいます。TORトラフィック特有の匿名性のため、セキュリティ専門家や警察当局とって、この活動の実行犯を見つけ出すことも、このボットネットの活動を停止させることも困難な作業となります。

2013年8月後半から9月初旬にかけて、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によるフィードバックから、「MEVADE」の2つの異なった亜種が確認されました。最初に確認された亜種は、「Secure Shell(SSH)」の通信を使用し、アドウェアに利用されます。一方、次に確認された亜種は、TORのモジュールを含んでいました。

弊社シニア・スレット・リサーチャのFeike Hacquebordは、今回の脅威の背後では、アドウェアのインストールや検索結果のハイジャックを企む人々が関わっているとの見解を示しています。つまり、ボットネット「MEVADE」を利用して、感染コンピュータ上にアドウェアやツールバーをインストールすることで金儲けを企んでいる人々がいるはずという見解です。

彼らは不正リモートユーザとして「MEVADE」をウクライナのハリコフ市やイスラエルから操作しており、その活動は2010年から実施されていたようです。主要メンバーの1人は、「Scorpion」として知られており、もう1人は、「Dekadent」というハンドル名で活動しています。

ユーザはどのようにして「MEVADE」と遭遇しますか。

ユーザは、偽の “Adobe Flash Player” の更新プログラムを介してこのマルウェアに遭遇します。この更新プログラムは、”FlashPlayerUpdateService.exe” というファイル名ですが、実際は不正なEXEファイルであり、トレンドマイクロ製品では「TROJ_DLOADE.FBV」として検出され、「MEVADE」の亜種である「BKDR_MEVADE.A」をダウンロードします。また、この偽の更新プログラムは、「ADW_BPROTECT」もダウンロードすることも確認しています。

TORのコンポーネントを持つ「MEVADE」の亜種の場合は、「BKDR_MEVADE.B」および「BKDR_MEVADE.C」として検出名で対応していますが、これらの侵入経路に関してはまだ調査中です。他にも、こうした「MEVADE」の亜種を最終的な不正活動としてダウンロードするマルウェアは存在しているようです。

なお、弊社の調査では、「MEVADE」の亜種は ”Installbrain” のようなアドウェアによってインストールされる場合があることも確認しています。

「MEVADE」の亜種がコンピュータに感染すると、どのようなことが起こりますか。

「BKDR_MEVADE.A」は、HTTPプロトコルを用いて自身のコマンド&コントロール(C&C)サーバと通信します。C&Cサーバから受信して実行されるコマンドには、このマルウェアが自身のコピーを更新することや、SSHを介して特定の場所に接続するなどが含まれます。これらのコマンドは、C&Cサーバとの通信を確実に保持するために実行されます。

「TROJ_DLOADE.FBV」が接続するURLは、以下のような特定のパターンを含んでいます。またそのIPアドレスは、ロシアのものです。

  • http://<不正なドメイン>/updater/<32文字のランダムな16進数の文字列>/<1桁の数字>
弊社の一連の調査から、「TROJ_DLOADE.FBV」が「ADW_BPROTECT」をダウンロードすることも確認しています。このことは、ボットネット「MEVADE」の脅威の背後にいる不正リモートユーザは、アドウェアによる不審なオンライン広告を駆使した金儲けをするためにこのボットネットを利用していることも示しています。

もう一方の「MEDAVE」の亜種(「BKDR_MEVADE.B」および「BKDR_MEVADE.C」)は、C&Cサーバに接続する際、TORクライアントを使用します。最初の亜種と異なり、これらの亜種は、TORを自身の隠ぺい手法とする他、弊社で収集した検体からはその動作や拡散方法に特徴があります。

どのような国がこの脅威の影響を受けていますか。

Trend Micro Smart Protection Network」によるフィードバックよると、「MEVADE」の亜種に影響を受けた国には、米国や、日本、フランス、インド、ブラジルその他があげられます。このことは、「MEVADE」が、他のマルウェアによっても拡散していることを示しています。「TROJ_DLOADE.FBV」による影響を最も受けている国は、米国および日本となっています。

TOR利用が急増しなかったイスラエルで感染事例が確認されなかった点は注目に値します。恐らくこれは、イスラエルでアドウェア活動を行なう不正リモートユーザが地元警察当局との間に起きるトラブルを回避するためだと予想されます。

なぜユーザはこの脅威に注意する必要があるのでしょうか。

「MEVADE」が備えるバックドア機能のコンポーネントはSSHを介してリモートホストと通信するため、これにより、データ漏えいの被害に見舞われる可能性が高くなります。

また、TORのコンポーネントが不正リモートユーザの活動を上手く隠ぺいする点も注意が必要です。これを利用してC&Cサーバとの通信を隠すことができるため、彼らが使用する秘匿サービスを停止させることはほとんど不可能となります。

この脅威から身を守るためには、ユーザ自身は何ができるでしょうか。

ユーザ側では、以下のような正しいコンピュータ利用法を守ることで、今回のような脅威から自身を守ることができます。

  • ご使用のソフトウェアを更新する際、最新版は必ず該当ベンダの公式サイトからダウンロードすること。これにより、最新版への更新を装ったマルウェアがインストールされるのを避けることができます。
  • マルウェアがダウンロードされないためにも、安全性が証明されていない不審なWebサイトの閲覧を避けること。
  • Eメールやインスタントメッセンジャ(IM)の本文中のリンクを不用意にクリックしないこと。また、既知の送信元からの個人的なメッセージであっても、巧妙な偽装の可能性もあるため、十分に注意する必要があります。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のレピュテーションサービスにより守られています。「ファイルレピュテーション」技術は、今回の脅威に関連したマルウェアを検知して削除します。「Webレピュテーション」技術は、この脅威に関連した不正URLやC&Cサーバへのアクセスをブロックします。

トレンドマイクロの専門家からのコメント

「MEVADE」ファミリのマルウェアは、TORのコンポーネントをダウンロードしますが、これは、マルウェア自身のC&Cとの通信をバックアップするための仕組みだといえます。また、トレンドマイクロでは、この脅威の背後にいる不正リモートユーザは、イスラエルでアドウェア関連の業務を行なっており、ウクライナでも活動していると考えています。

- シニア・スレット・リサーチャ:Feike Hacquebord

今回の脅威におけるアドウェアのダウンロートは、ボットネット「MEVADE」はアドウェアやツールバーのインストールを介して金儲けを企んでいるはずだというトレンドマイクロ側での調査結果とも一致しています。

- スレット・アナリスト:Roddell Santos