[調査・レポート]

2015年8月13日(木)河原 潤（IT Leaders編集部）

リスト

普通のExcelファイルを装ったトロイの木馬

　まず、RSA AFCC（Anti-Fraud Command Center：詐欺対策指令センター）が報告する最新のトピックを紹介する。AFCCは、2014年末から、マルウェアに感染させるマクロを仕込んだPDFやWord文書を添付したメールを使った攻撃がさらに増加していることを警告している。同チームで先日、大量のJPEG画像を装ったファイルを貼り付けたExcelワークシートの拡散を確認した（画面1）。「chika」という名前が付けられたこのシートには、Excelのアタッチメント画像とおぼしきものを同梱し、そのアタッチメントを開くために使うアクティベーション・ボタンが付いている。

画面1：トロイの木馬を感染拡大させるためのExcelファイル（出典：EMCジャパン RSA事業本部）

　ユーザーがこのボタンをクリックすると、Excelのマクロ機能を有効にするようメッセージが表示される。指示に従うと、あっという間にトロイの木馬「Pony Stealer」がインストールされるという仕組みだ。このPony Stealerは、感染したPC からさまざまな情報を窃取すると同時に、金融関連情報を窃取するトロイの木馬「Banker」のインストールまでも行うという。

“Zeusの父親”なる凶悪マルウェアが再び流通

　AFCCが次に挙げるのは、銀行顧客を狙うマルウェア「Kronos」だ。AFCCによると、Kronosが最初に報告されたのは2014年7月で、その名はギリシャ神話に登場するZeusの父親に由来する。史上最悪と言われたZeusマルウェアにあやかろうというクラッカーの意図が見える。

　Kronosは、サーバー間通信の暗号化や主要WebブラウザがサポートするHTML/JavaScript インジェクションに対応している。正規サイトにアクセスしたと思ったら、改変ページに飛ばされ、銀行アカウントのPIN情報や「秘密の質問」の答えを窃取しようとする。ほかにも、ステルス機能や他のトロイの木馬、セキュリティソフトによる干渉を拒絶し、サンドボックス環境での実行を拒否するためのRing3ルートキット機能も組み込まれているという。

　EMC RSAによると、2015年2月にKronosと関連のあるC&C（Command & Control）サーバーを特定した後、このサーバーもマルウェアも姿を消していたが、最近になって再びKronosが地下犯罪者フォーラムで発売されているのを発見したという（図1）。そこでなされていたオファーは、アップデート、完全サポート、マニュアル類の永年無料提供が付いて、前回の半額以下の3000ドル（支払いはビットコイン限定）だった。

図1：地下犯罪者フォーラムに掲載されたKronosの広告（出典：EMCジャパン RSA事業本部）
拡大画像表示

●Next：国内で金融機関の名前を騙るフィッシング攻撃が急増