2014年07月04日 12時00分 公開
特集/連載

2000ドルで取引される新型マルウェアの侮れない危険性コードを一から開発

新たなバンキングマルウェアが発見された。地下市場で高額取引され、コードが一から作成されている点が特徴だ。果たして、「Zeus」以来の脅威へと発展するのだろうか。

[Brandan Blevins,TechTarget]

 セキュリティ専門家らが新たなバンキングマルウェアの亜種を発見した。このマルウェアは、地下市場で高額取引されている他、マルウェア開発では珍しくコードが一から書かれている。

 RSA FraudActionチームは、2014年6月上旬のブログ記事で「Pandemiya」と呼ばれる新種のマルウェアについて詳しく解説している。同チームによると、Pandemiyaはマルウェアの地下市場において1500〜2000ドルで販売されているという。価格は購入者が求める機能によって異なる。

 Pandemiyaは、さまざまな点において典型的なバンキングマルウェアといえる。例えば、フォームデータやログイン資格情報を盗むことが可能だ。さらに、主要な3種類のWebブラウザに対応した悪意のあるWebページを表示させることで、標的についてより多くの情報を収集することができる。

 RSAチームによると、Pandemiyaに感染したPCとボットネットの通信も暗号化されているという。Pandemiyaにはモジュール式という特徴がある。つまり、DLLプラグインを使用して、簡単に機能を拡張および追加できる。リバースプロキシやFTPログイン情報の盗聴機能など、一部のDLLプラグインは高値で販売されている。

 Pandemiyaは「Zeus」のソースコードを基に作成されていない点で他のマルウェアと一線を画している。Zeusのソースコードは2011年にインターネット上に流出している。それ以来、「Citadel」「Carberp」「Zberp」など、さまざまな悪質なバンキングマルウェアの作成者が、Zeusのソースをこぞって使用してきた。

 「今回の調査を通じて、Pandemiyaの作成者がこのマルウェアのコード作成に1年もの歳月を費やしたことが分かった。また、2万5000行以上にも及ぶ新しいコードがC言語で記述されている。このように新たなコードで構成されたトロイの木馬が出現することは地下市場では珍しい現象だ」とRSAチームはブログ記事で報告している

 「Gameover Zeus」は、法執行機関による世界的な摘発作戦の対象となった。この作戦の結果、ボットネットに感染した30万台以上のPCで駆除が行われ、正常なサーバへと復帰している。

 Pandemiyaは、マルウェアとしては比較的高価であるなどの理由から、現時点では普及が抑えられているとRSAチームは指摘している。だが、Pandemiyaの作成者が、Gameover Zeusの活動停止によって生じた一時的な隙を狙っている可能性は否定できない。

 「Pandemiyaの需要が高まるかどうかが判明するまでには時間がかかるだろう」とRSAチームは述べている。

ITmedia マーケティング新着記事

news024.jpg

CEOと従業員の給与差「299倍」をどう考える?
今回は、米国の労働事情における想像を超える格差について取り上げます。

news153.jpg

日立ソリューションズが仮想イベントプラットフォームを提供開始
セミナーやショールームなどを仮想空間上に構築。

news030.jpg

経営にSDGsを取り入れるために必要な考え方とは? 眞鍋和博氏(北九州市立大学教授)と語る【前編】
企業がSDGsを推進するために何が必要なのか。北九州市立大学の眞鍋和博教授と語り合った。