この攻撃の背景

メキシコで大きな話題となった、4歳の少女、Paulette Gebara Farahについてのニュースを巧みに利用した、新たなフィッシング攻撃を確認しました。この話題を呼んだニュースとは、行方不明と伝えられていた彼女が、その後自身のベッドルームで死体として発見された、というものです。今回の攻撃は、メキシコのボットネットにより仕掛けられ、ユーザから銀行、または金融関連の情報を収集することを目的としていました。

この脅威は、どのようにしてコンピュータに侵入しますか?

この脅威は、ユーザが4歳の少女、Farahに関する情報を得ようと偽のWebサイトを閲覧し、そのWebサイト内に記載されたURLをクリックすることにより、コンピュータに侵入します。すなわち、Webページ「http://www.knijo.<省略>0.net/fotografias-al-desnudo-de-la-mama-de-paulette.htm」には、Farahについての関連記事が含まれているとされ、ユーザがこのページにアクセスすると偽のダイアログボックスが表示されます。このダイアログボックスは、ユーザに "Adobe Flash Player" のダウンロードおよびインストールを促します。

この脅威に関連するマルウェアは、USBメモリを介して侵入することも可能であり、またインスタントメッセンジャ「MSNメッセンジャー」を介して侵入することも可能です。MSNメッセンジャーの利用では、このボットネットは、自身のコピーを添付ファイルなどの形でメッセージに添付したり、自身のコピーのダウンロード先となるリンクをメッセージに記載し、ユーザに送信します。

この脅威は、どのような攻撃をユーザに仕掛けますか?

この脅威では、ユーザが不正なWebサイト内に記載されたURLをクリックすると、偽のダイアログボックスが表示され、 "Adobe Flash Player" のダウンロードおよびインストールを促されます。ユーザが誤ってダイアログボックス内の「Run(実行)」をクリックすると、ボットのクライアントプログラムである "video-de-la-mama-de-paulette.exe" がダウンロードされることとなります。このプログラムは、トレンドマイクロ製品では、「TSPY_MEXBANK.A」として検出されます。

実行ファイル "video-de-la-mama-de-paulette.exe" が実行されると、「TSPY_MEXBANK.A」は、ボットサーバに接続し、必要な情報を収集します。このサーバは、配下にあるゾンビPCの総数およびリストを表示します。このリストには、ID番号、クライアント名、および実行アクションも含まれています。

これまでに知られてきたボットネットと異なり、このボットネットは、非常に広範囲に及ぶ機能を備えています。それぞれの機能は自身の「モジュール」に組み込まれており、サイバー犯罪者は、これらのモジュールを一つ一つ設定することが可能です。また、このボットネットは、以下のようなオプションも備えています。

  • ボットの無効化、または有効化
  • ボット上での「netcat」の起動。(「netcat」とは、ネットワークの状態を診断したり、設定を変更したりするツールの1つで、バックドア型マルウェアとして利用することのできる高性能なもの)
  • ボットのボットネットからの削除

さらに、コマンド&コントロール(C&C)サーバ内のPharming(ファーミング)モジュールにより、このボットネットは、メキシコのユーザをフィッシング詐欺の対象にすることが可能になります。このボットネットは、「PayPal」のメキシコサイトおよびメキシコで最大規模の金融機関「Bancomer」を標的にします。

なぜこの攻撃は Noteworthy に分類されたのですか?

このボットネットは、2010年6月7日にその活動に最期を迎えたものの、PayPalおよびBancomerのユーザをだまし、個人情報を収集するフィッシング詐欺の機能を備えているため、Noteworthy に分類されています。PayPalは現在、190の国と地域に1億5000万を超えるアカウントを保有し、一方、Bancomerは、1100万以上の顧客およびアカウントにサービスを提供しています。Bancomerのサービス提供による収益は、世界に広がるBanco Bilbao Vizcaya Argentaria (BBVA)グループ全体の総収益の30%に及び、スペイン以外の国にあるグループ銀行で最大規模となっています。

このボットネットは、総合的な機能を備えており、ファーミングモジュールにより、PayPalおよびBancomerユーザの個人情報を収集することが可能です。このボットネットは、次のような方法で個人情報を収集します。正規の企業である、PayPalおよびBancomerからを装ったEメールがユーザに送信され、このメールの受信者は、プロフィール情報の更新、または、何らかの取引のために、メール内のリンクをクリックするように要求されます。受信者が誤ってこのリンクをクリックすると、偽のWebサイトに誘導され、アカウント情報の入力を促されます。受信者がアカウント情報を入力した場合、それらの情報は、サイバー犯罪者に直接転送されることとなります。

また、ボットネット「Tequila」は、HTTPサイト、またはFTPサイトを介し、複数の不正なURLからファイルをダウンロードすることも可能です。さらに、このボットネットが情報収集型マルウェア「ZBOT」および偽セキュリティソフト型マルウェア「FAKEAV」を作成することも確認されているため、念頭に入れておく必要があります。

さらには、このボットネットは、特定のWebサイトをそのWebサイトに掲載されている広告とともに繰り返し読み込むことも可能にします。実際、サイバー犯罪者は、この手法を利用し自身のWebサイトへのトラフィックを増やすことにより、「Google AdSense」のような広告ネットワークからの支払いを増大させています。

コンピュータを攻撃から守るにはどうすればいいのですか?

ユーザは、Eメールを開く際やURLをクリックする際には、注意を払う必要があります。また、サイバー犯罪者は、常に新たな手法を見いだしユーザに攻撃を仕掛けてくるため、ユーザは、インターネット利用における安全対策を習慣づけることが大切です。

正規のWebサイトを装ったフィッシングサイトは、ユーザをだまし個人情報を盗む目的で設計されているため、これらのサイトには注意が必要です。見知らぬ送信者からのEメールに記載されたリンクをクリックすることにより、ユーザは、簡単にこのような攻撃の危険にさらされてしまいます。

トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「ファイルレピュテーション」技術により、関連マルウェア「TSPY_MEXBANK.A」が感染コンピュータへダウンロードされ実行されるのを妨げます。また、「Web レピュテーション」技術により、不正なWebサイトへのアクセスをブロックします。さらに、感染コンピュータから収集した情報をC&Cサーバにアップロードしたり、また、C&Cサーバから感染コンピュータに追加のマルウェアをダウンロードする機能である、「phone-home」機能の実行も妨げます。

また、トレンドマイクロ製品をご利用でないユーザは、無料サービス「Trend Micro HouseCall」を利用して、感染していないかどうか確認することをお勧めします。この無料サービスは、感染コンピュータからすべてのウイルス、トロイの木馬型マルウェア、ワーム、迷惑なWebブラウザのプラグイン、および他のマルウェアを特定し、除去します。

トレンドマイクロの専門家からのコメント

ボットネットについて見られる思い違いは、多くの人が、「ボットネットは世界規模で広範囲に攻撃を仕掛ける」と認識している点である。しかし、今回のボットネット「Tequila」により、ボットネットは、利用するボットを国、企業、またはある特定のグループといった攻撃対象ごとに分けることにより、特定の地域を対象とする攻撃能力が備わっていることを再認識することができた。

今回の攻撃では、メキシコが主な標的となった。二次的な標的となったのがチリで、情報収集(このボットネットのファーミングモジュール用)やマルウェアの拡散、Webサイトのヒット数の増加を目的としていたようである。しかし、2010年6月7日にこのボットネットのC&Cサーバがオフラインとなり、管理者自らの手によりその活動に終止符が打たれた。その後、新たな活動は確認されていないが、このボットネットに使用されたボットは依然として存在しているため、今後も監視を続け動向を見守っていくことにする。

- Ranieri Romera著 トレンドマイクロセキュリティブログ記事「“Tequila Botnet” Targets Mexican Users」より