Skypeを介した「DORKBOT」の再来
インターネット上の脅威の中には、ユーザへの脅威として普通以上に長く存在し続けるものがいくつかありますが、それらは、手口にさまざまな工夫が施されたり、異なった経路からうまく侵入されたり、その時々の脅威状況に適応できた結果であるとも言えます。このように長く存在しながら何度も登場する脅威の最右翼としてあげられるのが「インスタントメッセンジャ(IM)を介した脅威」でしょう。この脅威で利用されるIMは、マルウェアを拡散させる格好の手段としてサイバー犯罪者たちの間でも重宝されており、この手段が駆使されることで、忘れられていた脅威が新たに復活するケースさえあります。最近の「DORKBOT」の亜種を巡る事例がそれに該当します。2012年10月の時点で17,000件以上の感染事例が報告されている「DORKBOT」は、IMの中でも特にSkypeを利用する点から、最近の要注意ワームと見なされています。
「DORKBOT」は、どのような点でNoteworthy(要注意)と見なされていますか。
「TrendLabs(トレンドラボ)」では、「DORKBOT」の亜種へと誘導させるSkypeのスパムメッセージを確認していました。「DORKBOT」は、別名「NgrBoit」としても知られており、Internet Relay Chat (IRC)を介した感染活動でボットネットを形成して「分散型サービス拒否(DDoS)攻撃」を行う「IRCボット型のワーム」です。各種インスタントメッセンジャ(IM)やソーシャル・ネットワーキング・サービス(SNS)を介した感染活動や個人情報収集を行う機能を備えており、2011年初旬には南米地域で既にその存在が確認されていました。
そして2012年10月、この「DORKBOT」のワームが、新たにSkypeのインスタントメッセージを介して拡散していたことが確認されました。2012年10月16日の時点での感染数は、1万7500件に達したと言われています。
コンピュータが「DORKBOT」の亜種に感染すると、どのようなことが発生しますか。
「DORKBOT」のワームがコンピュータに侵入してインストールされると、外部の攻撃者がこの感染したコンピュータを完全にコントロールすることが可能になります。もちろん、このような「外部からのコントロール」は、ユーザが見舞われる被害のごく一部でしかありません。
その他にも情報漏えいという深刻な被害にも見舞われます。「DORKBOT」は、FacebookやTwitter、さらにはファイルロック関連サービスやオンライン銀行などの金融関連サービスを提供するサイト等、さまざまなWebサイトのパスワードやログイン情報の収集も行います。
また、「DORKBOT」の亜種の中には、「分散型サービス拒否(DDoS)攻撃」を実行する機能を備えているものもあります。この場合、外部からコントロールする攻撃者のコマンドを受信し、IRCのチャットルームに参加することで、この攻撃を実行します。解析によると、「SYNフラッド攻撃」や「UDPフラッド攻撃」、「Slowloris攻撃」といった3種類のDoS攻撃が実行可能であることも判明しています。
さらには、感染したコンピュータからコマンド&コントロール(C&C)サーバに接続され、そこから提供されるリンクによっては、他のマルウェアがダウンロードされる場合もあります。ダウンロードされるマルウェアは、「身代金要求型マルウェア(ランサムウェア)」や「クリック詐欺関連のマルウェア」など、多岐に及びます。また、自身のコピーの更新版も、同じような方法で一日に一度はダウンロードされます。この場合、ダウンロードされるファイルは異なった形式で圧縮されているため、検出されることもありません。恐らく検出を避けるために意図的に用いられているのでしょう。
「DORKBOT」は、どのようにして拡散しますか。
「DORKBOT」は、いずれの亜種も、さまざまなプラットフォームを介して拡散します。その多くは、FacebookやTwitterといったソーシャルメディアであったり、Windows Live MessengerやmIRC、Skypeなどのインスタントメッセンジャのアプリケーションであったり、さらにはUSB等のリムーバブルドライブを介してなど、多岐に渡ります。
また、インスタントメッセージ内のリンクをユーザにクリックさせるなどして感染を試みる際、より効果的なソーシャルエンジニアリングの手口にするため、「DORKBOT」は、まずそのユーザがどの国の言語を使用しているかを確認した上で、ユーザが使用している言語に見合ったメッセージを送信します。この場合、ソーシャルメディアやインスタントメッセージのアプリケーション上で「http://api.wipmania.com/」といったWebサイトへ接続し、感染したコンピュータのIPアドレスや位置情報を確認することにより、「ターゲットにしたユーザがどの言語を使用しているか」を簡単に特定することができます。
今回のSkypeを介した攻撃の場合、「WORM_DORKBOT.IF」がダウンロードされてコンピュータに侵入し、さらにこのワームが(同じようにこのワームがダウンロードされるリンクがを含んだ)メッセージを、自身が侵入したコンピュータ内のコンタクトリストを使用して送信します。送信されるメッセージは、「lol is this your new profile pic」というものですが、この際、このワームのコンポーネントの1つが、侵入したコンピュータ内のロケール情報を確認し、このコンピュータのユーザが所在する位置情報を把握します。こうして、感染コンピュータのユーザおよびメッセージ送信先のユーザが使用している言語を特定し、それに応じて、メッセージに用いられる言語も変更します。以下は、このワームが利用するメッセージのリストですが、各言語に応じたバージョンが用意されているのが分かります。
インスタントメッセンジャ等のプラットフォームが、マルウェアの感染活動に利用される理由は何でしょうか。
インスタントメッセンジャ(IM)は、インターネット上でのリアルタイムのやりとりが可能であることから、インターネット上のコミュニケーションの手段としても人気があり、とりわけ、Skypeや、Yahoo!メッセンジャー、Gtalkなどのサービスや、その他、ビデオコンファレンスやテレカンファレンスのサービスも利用できるマルチメディア対応のコミュニケーションなどは、その利用頻度においても空前絶後の人気を博しているといってもよいでしょう。ただ残念ながら、インターネット上での金儲けでは手段を選ばないサイバー犯罪者たちも、こうした人気につけ込み、さまざまなサイバー犯罪活動も発生するという事態になっています。
こういったIMは、ほとんどのソーシャル・エンジニアリング・サービス(SNS)でも使用されており、このことから、各種SNSも、サイバー犯罪たちが自分たちの不正活動を試みたり、拡散させたりする上での格好のターゲットにもなっています。その中でも最近の事例としては、Facebookのチャットメッセージからマルウェア感染に誘導させるケースの急増をあげることができます。この事例の場合、Facebook内のチャットメッセージ内に特定の短縮URLが含まれており、そこから "May09-Picture18.JPG_www.facebook.com.zip" というアーカイブファイルに誘導されます。このファイルには "May09-Picture18.JPG_www.facebook.com" という不正なファイルが含まれており、この不正なファイルは「WORM_STEKCT.EVL」として検出されるワームです。このワームは、侵入したコンピュータ内のセキュリティソフトを無効化し、特定のWebサイトに接続して情報の送受信を行うといった機能を備えています。
今回のような脅威から身を守るためには、ユーザは、どのような点に注意すべきでしょうか。
- 特にインスタントメッセンジャ(IM)を介して受信するメッセージに関しては、それがコンタクトリストからのものであっても細心の注意を払うこと。Eメールの場合でも、このように注意すべき点は同じですが、IMなどのプラットフォームの場合、リアルタイムでやりとりが行なわれるため、よりリスクが高いという点も認識しておくべきでしょう。
- ソーシャル・ネットワーク・サービス(SNS)自体のセキュリティも、最近は向上してきていますが、それでも、こうしたプラットフォームに集まる多くのユーザたちを狙ったサイバー犯罪たちが常に間近に迫っていることを認識しておくべきでしょう。その意味でも、SNS上では、サイバー犯罪たちにつけ込まれるような軽率な行動は慎むべきです。FacebookやTwitterなど、ソーシャルメディアにおいてどのようにして脅威を避けるべきかに関しては、「A Guide to Threats on Social Media」(英語版のみ)などのEガイドが参考になります。
- サイバー犯罪たちは、ユーザにリンクをクリックさせるため、さまざまなソーシャルエンジニアリングの手法を駆使する点も認識しおくべきでしょう。そうした手法では、ユーザを惹きつけて不注意にクリックさせるため、有名なニュースやセレブリティのゴシップ記事などさまざまな話題が「エサ」として利用されます。ソーシャルエンジニアリングの手口を駆使した脅威をいかに避けるか関しては、「How Social Engineering Works」(英語版のみ)などのEガイドが参考になります。
- 基本的には、「コンタクトリスト」や「友達」から閲覧を勧められたサイト等へ誘導されるリンクも含めていかなるリンクも、できるかぎりクリックしないように務めるべきでしょう。
トレンドマイクロ製品は、この脅威を防ぐことができますか。
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、「DORKBOT」の亜種が組み込まれているサイトへのアクセスをブロックし、これにより、不正なファイルがユーザのコンピュータにダウンロードされてくるのを確実に阻止することができます。