背景

2013年8月に確認された匿名通信システム「The Onion Router(Tor)」ユーザの急増は、その年の主要な脅威事例の1つでしたが、この急増は、マルウェア「MEVADE/SEFNIT」に形成されたボットネットによるもので、このボットネット向けにTor関連のモジュールが導入されたことに起因していました。実際、わずか数週間でTorユーザは、100万人から500万人以上に急増したようです。「MEVADE/SEFNIT」は、クリック詐欺に関連するマルウェアとして2011年から知られていましたが、トレンドマイクロのセキュリティ専門家のさらなる調査により、ウクライナを拠点とする請負業者と共にイスラエル人によってその不正活動が支援されている可能性も指摘されています。

感染経路からは、InstallBrainというアドウェアと共にあるマルウェアの関連が確認され、そのマルウェアのコードが、コマンド&コントロール(C&C)サーバとの通信方法からマルウェア「MEVADE/SEFNIT」に類似していることが判明したという経緯があります。さらに興味深いことには、2013年、「Rotbrow」というアドウェアも(アドウェアBprotectのMicrosoftでの検出名)も、「MEVADE/SEFNIT」のインストールに使用されたことが確認されています。InstallBrainとBprotectの双方とも、イスラエルの広告会社iBario社で作成されたことが疑われています。

iBario社とアドウェア、「MEVADE/SEFNIT」との関連性についての調査結果は、トレンドマイクロのリサーチペーパ 「On the Actors Behind MEVADE/SEFNIT」をご覧下さい。

攻撃の概要

攻撃ではアドウェアのInstallBrainが関連しており、このアドウェアのクリック詐欺を介して、マルウェアの「MEVADE/SEFNIT」が何百万ものユーザのPCへダウンロードされました。なお、この「MEVADE/SEFNIT」は、さらなる調査から、ウクライナのハリコフ市やイスラエルを拠点とした攻撃により、少なくとも2010年頃から操作されていたことも明らかになりました。

「MEVADE/SEFNIT」は、ボットネットを形成するボットとして、2013年8月にはTorユーザの感染PCの間で劇的に増加しました。実際、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」のフィードバックからも、68カ国以上での感染報告が確認されており、ここからも、Tor向けのコンポーネントを備えた「MEVADE/SEFNIT」がいかに拡散していたかが分かります。ところが不思議なことに、イスラエルでの感染報告は全く確認されていませんでした。

図1. 「MEVADE/SEFNIT」は68カ国以上で確認されたが、イスラエルでは確認されなかった。

このことから攻撃者は、感染対象国からイスラエルを除外し、イスラエルのユーザに感染しない措置を施していたことが伺えます。また、イスラエルの法執行機関や地元警察とのトラブルを避けたかったという可能性も考えられます。こうした状況を考慮する中、「MEVADE/SEFNIT」の発信元が、世界有数のインターネットマーケティング企業でイスラエル所在のiBario社である可能性が浮かび上がってきました。この大企業は、自社の広告ネットワークにより資金を調達し、いまや収益全体の40パーセント以上をこのような広告費から得ているといいます。

弊社の調査から、InstallBrainのようなアドウェアによりインストールされた「MEVADE/SEFNIT」の亜種も、iBario社の利益に大きく貢献している可能性が確認されています。

InstallBrainとは

InstallBrainは、「MEVADE/SEFNIT」がユーザのPCにインストールされる際に、感染経路として使用されるアドウェアです。BprotectやFile Scoutといった他のアドウェアも、同じように「MEVADE/SEFNIT」のインストールに使用されます。

SPNデータでも、InstallBrainが世界中の何百万ものPCにインストールされていることを示しています。実際、現時点で500万以上もの異なったInstallBrainの亜種が、約150もの国々で検出報告されており、この事実からも、いかにこのアドウェアがいかに広い範囲に拡散しているかが分かります。

図2:InstallBrainは世界約150カ国で検出された。

こうした状況を見ても、InstallBrainが「MEVADE/SEFNIT」のインストールに関連しているというMicrosoftの見解は、適切であったといえるでしょう。

InstallBrainを作成したiBario社とは

InstallBrainは、iBario社というイスラエルのインターネット広告会社に作成・所有されているアドウェアです。iBario社自体は、さまざまな活動を営んでいますが、いずれもがダウンロード向けプラットフォームに関連した活動であり、この会社の収益に最も貢献しているものが、フリーウェアのインストールエンジンであるInstallBrainなのです。

しかしながら、InstallBrainで謳われている「買い手以外からもお金儲けを」というモットーは、言い換えれば「あらゆる手段を尽くしてお金儲けを」という悪徳商法に聞こえないこともありません。実際、アドウェアを提供する他の企業とiBario社との決定的な違いは、前者が無害なアドウェアの表示に終始している一方、後者は、いわば一線を越えて、「MEVADE/SEFNIT」のようなマルウェアをInstallBrainで形成されたPCの巨大ネットワーク上全体に拡散させているという点です。

2011年以降、iBario社の企業ネットワーク内では、「MEVADE/SEFNIT」が保持されているようです。特に「master.codeconst.com」というサイトにホストされているコード保管システム内で「MEVADE/SEFNIT」が保持されている可能性があります。このホスト名は、「37.58.66.234」というIPアドレスを示しており、このIPアドレスは、イスラエルのiBario社により所有されているIPブロックに属しているからです。また、さらなる調査からは、iBario社に勤務しているウクライナ人在住の複数の人物が、特にセキュリティ製品の検出を回避するため、InstallBrainに絶えず調整を施していることも把握しています。

間もなくしてInstallBrainは、iBario社のWebサイトから削除されましたが、同様の活動は、”UnknownFile” などと別のソフトウェアに偽装して継続されていると、弊社では推測しています。

図3:2014年6月27日に撮られたInstallBrainに関するWebサイトのスクリーンショット

「MEVADE/SEFNIT」が感染PCに与える影響

「MEVADE/SEFNIT」は、当初、クリック詐欺や電子通貨「Bitcoin(ビットコイン)」の「発掘(マイニング)」に利用されるマルウェアとして言及されていました。

また、HTTPプロトコルを使用してコマンド&コントロール(C&C)サーバと通信することでも知られています。C&Cサーバから受信して実行されるコマンドには、自身のコピーを更新する機能や、セキュア・シェル(SSH)を介して特定の場所に接続する機能などが含まれています。これらのコマンドは、C&Cサーバとの通信を確実に保持するために利用されます。

以前の「MEVADE/SEFNIT」の攻撃に関する弊社の記事では、ユーザは、偽の Adobe Flash Playerの更新プログラムや「TROJ_DLOADE.FBV」を介してこのマルウェアに遭遇し、「ADW_BPROTECT」をダウンロードすることなどが記されていました。実際、「MEVADE/SEFNIT」の最終的な不正活動が、「ADW_BPROTECT」(別名Bprotect)をダウンロードすることであるならば、この脅威の背後にいる人物は、「MEVADE/SEFNIT」によるボットネットを駆使した不審なオンライン広告から収益を得ようとしていることが分かります。

不正活動に利用されるアドウェアがユーザへ与える影響

アドウェアは、多くの場合、広告や迷惑なポップアップが表示される程度の活動を行うことから、リスクの低い存在と見なされがちです。しかもほとんどのアドウェアは、ユーザの同意を得た上でダウンロードされます。しかしながら、このようなアドウェアも、もし広告会社自身の手によりユーザの許可なしにマルウェアをダウンロードさせるような場合、そのリスクは、一気に深刻なものとなります。通常、多くのユーザは、InstallBrainのようなアドウェアは、ちょっとした迷惑以外は、実質的な被害はもたらすことはないと感じています。しかし、「MEVADE/SEFNIT」のケースが示すとおり、このようなアドウェアも、破壊的なマルウェアをもたらすことは簡単です。

アドウェアは、不正とは見なされないものの、一旦ダウンロードされると、通常はフリーウェアとしてパッケージ化されたプログラムとして、ダウンロードされた先のPC内でインターネット閲覧活動やブラウザ情報等を収集して外部に送信することも可能です。こうして収集された情報は、広告会社のマーケティング活動等の目的に利用されることになります。

そして「MEVADE/SEFNIT」をダウンロードアドウェアのInstallBrainの場合、ダウンロードされるマルウェアの「MEVADE/SEFNIT」は、金銭詐欺に関連するクリック詐欺やビットコインのマイニングなどの動作を行い、これらは、サイバー犯罪者の金銭目的の活動のために駆使されます。

トレンドマイクロの専門家からのコメント:

「MEVADE/SEFNIT」がこれまでに示した経緯は、まさしくアドウェアでも大きなリスクをユーザにもたらす危険性を浮き彫りにしたといえます。インターネット上で多くのユーザは、アドウェア等に誘導されて意図しないものをインストールしてしまうことが頻繁にあります。アドウェアを提供する企業は、まさしくiBario社のように、必要であればいつでもユーザのPCに危険なマルウェアをインストールさせることができるという点は、肝に銘じておくべきでしょう。
シニアスレットリサーチャ Feike Hacquebord