この攻撃の背景

「KOOBFACE」は、ソーシャル・ネットワーキング・サイトで継続的に感染活動を実行している最初のマルウェアのファミリであるため、画期的な脅威と考えられています。当初は、ソーシャル・ネットワーキング・サイト「Facebook」での感染活動が確認されましたが、その後、マイクロブログサイト「Twitter」や「MySpace」といった他のSNSでも確認されるようになりました。

また、KOOBFACEは、他のマルウェアと比べ独特であるとも考えられています。それというのも、他の多くのマルウェアは、1つの不正なファイルにそのコンポーネントを含んでいるのに対し、KOOBFACEは、自身の機能を複数のコンポーネントに分け、それらのコンポーネントが共同で不正活動を実行するためです。

トレンドマイクロはこれまでに、この脅威を含む複数の事例をブログで報告してきました。

この脅威の詳細については、トレンドマイクロがまとめた以下の研究報告書(英語情報のみ)もご参照いただけます。

この脅威は、どのようにしてコンピュータに侵入しますか?

KOOBFACEは通常、ユーザの「連絡先」または「友達」からのメッセージや近況アップデート、「つぶやき」として侵入し、攻撃を仕掛けます。これらのメッセージには、ユーザの気を引くような事が書かれています。通常、これらのメッセージには、偽の動画共有サイト「YouTube」といった動画が視聴できるWebサイトへのリンクが含まれています。動画を再生しようとしたユーザは、実行ファイル(拡張子EXE)をインストールするよう促されます。この実行ファイルは通常、偽の "Adobe Instant Player" です。実際、このEXEファイルは、KOOBFACEのコンポーネントをダウンロードするダウンローダです。

この脅威は、どのような攻撃をユーザに仕掛けますか?

ダウンローダがコンピュータ上で実行されると、このダウンローダは、KOOBFACEの他のコンポーネントをダウンロードします。このダウンローダは、以下のようなさまざまな機能を果たします。

  1. 感染したユーザがどのSNSに登録しているかを確認。
  2. KOOBFACEのコマンド&コントロールセンター(C&C)に接続。
  3. C&Cが指示を出すKOOBFACEのコンポーネントをダウンロード。

この脅威は、どのような影響をユーザに与えますか?

KOOBFACEは複数のコンポーネントから構成され、これらのコンポーネントによりさまざまな方法でユーザに悪影響を与えます。SNSを利用して感染活動をするコンポーネントは、感染したユーザが参加するSNSのコンタクトにスパムメッセージを送信することにより、感染活動を行います。

また、サーバコンポーネントとして機能するコンポーネントもあり、これにより、感染コンピュータは、ユーザの気付かないうちにWebサーバとなり、ボットネット「KOOBFACE」の一部となってしまうのです。

KOOBFACEは、C&Cに指示を出し、特定のWebサイトから偽セキュリティ対策ソフトをダウンロードします。さらに、情報収集型ハッキングツール(Stealer)のコンポーネントが、WindowsデジタルプロダクトID、インターネットプロファイル、電子メールの認証情報、FTP認証情報およびインスタントメッセンジャ(IM)の認証情報などを収集します。また、「Google」、「Yahoo」、「MSN」、「Ask」、あるいは「Live」での検索を傍受し、"Web Search Hijacker(サーチハイジャッカ)" を介して、ユーザを疑わしい検索ポータルに誘導します。そして、正規のWebサイトにアクセスしようとするユーザもまた、KOOBFACEのコンポーネントであるDNSチェンジャ(DNSの設定等を変更するツール)を介して、フィッシングサイトへと誘導されるのです。

サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?

感染コンピュータは、ボットネット「KOOBFACE」の一部となり、ユーザのSNSのコンタクト先に「KOOBFACE」の亜種を拡散するなどといった感染活動に加担させられてしまうことになります。

KOOBFACEは、偽セキュリティ対策ソフトをダウンロードすることで、サイバー犯罪者に利益をもたらします。偽のスキャン結果および警告メッセージを表示することで、偽のソフトウェアを購入するように促すのです。また、この攻撃を仕掛けるサイバー犯罪者は、クリック詐欺や情報収集、オンラインデートによっても利益を得ます。

この脅威が他の脅威と異なる点は何ですか?

C&Cは、SNSのクッキーを確認し、KOOBFACEのダウンローダが、どの追加コンポーネントをダウンロードする必要があるかを特定します。感染したユーザが、FacebookやMySpace、Twitterなどのアカウントを持っている場合、KOOBFACEのダウンローダは、KOOBFACE のC&Cにこれらのクッキーの存在を報告します。そして、KOOBFACEのダウンローダに指示を出し、SNSで感染活動をするコンポーネントをダウンロードします。このコンポーネントは、特定のWebサイトでメッセージを送信する機能を備えています。

この攻撃が無くならない理由は何でしょうか?

SNSは、一般ユーザに人気があるだけでなく、大企業や中小企業にとっても、ビジネス上での重要なツールとなっています。当然、サイバー犯罪者は、これを利用しようとします。そのため、SNSは、金儲けをたくらむサイバー犯罪者の格好の標的となってしまうのです。

また、サイバー犯罪者は、SNSやセキュリティ専門家が施す最新のセキュリティ対策に対応しています。こうして、サイバー犯罪者たちは、最新のセキュリティ対策を回避する亜種を作成し、攻撃を続けていくのです。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

トレンドマイクロ製品をご利用のお客様は、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」により、この脅威に関連する様々な不正コンポーネントから守られています。「E-mailレピュテーション」技術により、関連するスパムメールを受信することなくブロックできます。また、「Web レピュテーション」技術により、不正なWebサイトへのアクセスをブロックします。さらに、「ファイルレピュテーション」技術により、「KOOBFACE」の亜種を検知し削除します。

コンピュータを攻撃から守るにはどうすればいいのですか?

ユーザは、疑わしいメッセージのリンクをクリックしてはいけません。これらのメッセージは、SNSのユーザの連絡先から届くため、メッセージを送信してきたコンタクトの相手に直接その正当性を確認することが一番の予防策となります。また、ユーザは、疑わしいWebサイトから実行ファイルをダウンロードをするべきではありません。トレンドマイクロ製品をご利用でないユーザは、無料ツール「HouseCall」を利用して、この脅威に感染していないかどうか確認することをお勧めします。この無料ツールは、感染コンピュータからすべての「KOOBFACE」の亜種を特定し、除去します。今回の攻撃では、FacebookなどのSNSやTwitterが使用されるため、これらのサイト使用の際には細心の注意を払う必要があります。