2012年も終わりに近づく中、トレンドマイクロの専門家は、これまでにない手口で個人情報を収集する2種類の検体を確認しました。1つは、「TSPY_PASSTEAL.A」として検出されるマルウェアで、パスワード復元用のアプリケーションを介してWebブラウザからパスワードを収集するという方法を用います。もう1つは、「TSPY_PIXSTEAL.A」として検出されるマルウェアで、侵入したコンピュータ内のすべての画像ファイルをコピーの上、FTPサーバにアップロードするという方法で情報収集を行います。

これらの情報収集活動から、サイバー犯罪者たちが新たな手口を試みる上でさらに大胆になってきていることが分かります。こうした傾向は、セキュリティ業界にとっても、またエンドユーザにとっても、大きな脅威だといえるでしょう。

「PASSTEAL」および「PIXSTEAL」は、どのようにしてコンピュータに侵入しますか。

いずれも、他のマルウェアに作成されるか、悪意あるWebサイトを閲覧した際に誤ってダウンロードされることにより、コンピュータに侵入します。

特に「PASSTEAL」の亜種については、すでに400台以上もの感染事例が確認されています。

また、こうしたマルウェアは、ファイル共有サイトにも仕掛けられ、ソフトウェアのライセンスキー生成ツールとして提供されたり、その他、同様の不正なソフトウェアに利用されるアーカイブファイルにバンドルされるかたちで提供されたりもしているようです。

さらにまた、別の「PASSTEAL」の亜種の場合は、ヤングアダルト向け小説の電子書籍としてダウンロードされるかたちでも提供されているようです。

「PASSTEAL」や「PIXSTEAL」に感染すると、どのようなことが起こりますか。

「PASSTEAL」や「PIXSTEAL」のいずれに感染した場合も、感染したコンピュータ内のオンラインアカウント情報が改ざんされたり、個人情報が失われたりするリスクにさらされます。こうしたリスクに伴い、ユーザは、金銭的損害や、個人情報漏えい、虚偽の情報による風評被害等にも見舞われる危険性があります。

特に「PIXSTEAL」に感染した場合は、コンピュータ内から収集されたユーザの画像ファイルが、成人向けWebサイトにアップロードされたり、なりすまし詐欺や個人情報収集に悪用されたりなど、不正な目的に用いられる可能性もあります。さらにこういった画像ファイルは、ユーザに対する脅迫メールに使われたり、ユーザ本人を当惑させる様々な不正活動に悪用される可能性もあります。

「PASSTEAL」および「PIXSTEAL」は、どのようにして情報収集活動を行いますか。その際、手口や動作は、どのような点で従来の情報収集活動と異なっていますか。

「PASSTEAL」および「PIXSTEAL」の双方とも、情報収集活動の動作は、従来の情報収集型マルウェアのものとは傾向が異なっています。従来の情報収集型マルウェアの場合、そのほとんどは、「ZBOT」ファミリや「SPYEYE」ファミリのマルウェアに見られるように、キー入力操作情報を記録したり、なりすましたWebページに入力させたりすることで個人情報の収集を行います。

他方、「TSPY_PASSTEAL.A」は、パスワード復元用アプリケーションの「PasswordFox」を用いて情報収集活動を行います。このアプリケーションは、インターネットブラザのFirefox内に保存されたログイン情報の抽出に利用されます。こうして抽出された情報は、コマンドラインスイッチの「/sxml」を介してXMLファイル内に保存されます。このXMLは、抽出した情報を含むTXTファイルの作成にも利用され、こうして作成されたTXTファイルは、このマルウェアによりFTPサーバにアップロードされ、そこで保管されることになります。

さらにまた、「TSPY_PIXSTEAL.A」の場合は、侵入したコンピュータ上でコマンドラインを非表示で実行して、そのコンピュータ内の全てのJPGファイル、JPEGファイル、DMPファイルをコピーすることにより、情報収集活動を行います。JPGファイルやJPEGファイルは、典型的な画像ファイルの形式として知られています。DMPファイルは、予期しないシステム障害が発生した際の原因解析のための情報であるメモリーダンプを含むファイルのことです。

こうして目的のファイルのコピーが完了すると、このマルウェアは、FTPサーバに接続し、まずは最初のバッチとして2万に及ぶファイルをアップロードします。

「PASSTEAL」や「PIXSTEAL」は、特にどのような点で危険だといえるでしょうか。

「PASSTEAL」の亜種のいくつかは、Fixefox以外のブラウザ、さらには「Steam」や「JDownloader」といったアプリケーションからも情報を収集することが確認されています。

また、HTTPSやSSLといったセキュアな接続を使用してユーザがWebサイトにログインしている場合でも、「PASSTEAL」の情報収集活動は実行されます。これら2つの点から「PASSTEAL」は危険だということができます。

「PIXSTEAL」の場合は、ユーザのプライベートな写真が収集され、インターネット上にさらされることで、深刻なプライバシー侵害を伴う風評被害に見舞われる可能性があり、こうした点から、非常に危険な脅威だと見なすことができます。

「PASSTEAL」や「PIXSTEAL」に感染したかどうかは、どのようにして確認することができますか。

「PASSTEAL」の場合:

  • ご使用のコンピュータの「C ドライブ」にある "Documents" というフォルダを検索してください。このフォルダ内にXMLファイルが存在し、そのファイル内にご自身の使用しているパスワードのリストが含まれている場合、このマルウェアに感染している可能性が高いといえます。
「PIXSTEAL」の場合:
  • ご使用のコンピュータ全体をJPEGもしくはJPGの拡張子を持つファイルの検索を行なってください。検索されたJPEGやJPGファイルのオリジナルの場所とは別に、それらのコピーが「C ドライブ」のディレクトリに存在する場合、このマルウェアに感染している可能性が高いといえます。

なお、上記はあくまで感染の可能性があるかどうかの便宜的な確認方法であり、正しく確認するためには、ご使用のセキュリティソフト製品でスキャンを実行するようにしてください。

感染していることが判明した場合、どうすればよいでしょうか。

トレンドマイクロで提供している対応方法を実行することで、「PASSTEAL」や「PIXSTEAL」の削除を行うことができます。トレンドマイクロの製品をご使用のお客様は、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」により、「PASSTEAL」や「PIXSTEAL」、それらに関連するさまざな亜種がもたらす脅威から守られています。トレンドマイクロのソリューションは、「PASSTEAL」や「PIXSTEAL」の感染被害を未然に防ぎ、これらのマルウェアが含まれたWebサイトへのアクセスもブロックします。

「PASSTEAL」および「PIXSTEAL」の感染を避けるためには、何をすればよいでしょうか。

インターネット上でこれらのマルウェアに遭遇するような危険な活動は避けるべきです。海賊版のソフトウェア、海賊版の電子書籍、ライセンスキー生成ツール等、これら違法なファイルをインターネット上で検索したり、ダウンロードしたりすることが、そのような危険な活動であり、こうした行為は絶対に避けることです。サイバー犯罪者たちは、こういった不正なファイルの中に「PASSTEAL」や「PIXSTEAL」を組み込むことで、感染拡大を目論んでいるからです。

また、Webブラウザの「パスワードを覚える」という機能を無効化するか、もしくは、ログアウトした後には必ずWebブラウザ内のクッキーやキャッシュを消去しておくことです。これにより、Webブラウザ上に保存されたログイン情報を「PASSTEAL」が収集するのを阻止することができます。パスワードを定期的に変更し、パスワードの記憶をWebブラウザの機能に頼らないなど、正しく安全なパスワード管理を実行することも不可欠です。

トレンドマイクロが提供する「パスワードマネージャー」の使用もお勧めします。これより、「PASSTEAL」などによるパスワード漏えい等の被害も防止することができます。

アカウント情報やパスワードの安全な管理方法等に関しては、「How to Secure Your Multiple Online Accounts」(英語版のみ)のEガイドが参考になります。

トレンドマイクロの専門家からのコメント:

画像ファイルも含めて、コンピュータ内のデータをしっかりと守ることは、ユーザ各自の責任といえます。もちろん、マルウェアの感染被害を避けるということも、そうした責任の重要な一部といえます。

- スレット・レスポンス・エンジニア:Raymart Paraiso

関連マルウェア