2000ドルで取引される新型マルウェアの侮れない危険性：コードを一から開発

新たなバンキングマルウェアが発見された。地下市場で高額取引され、コードが一から作成されている点が特徴だ。果たして、「Zeus」以来の脅威へと発展するのだろうか。

≫ 2014年07月04日 12時00分公開

[Brandan Blevins，TechTarget]

関連キーワード

サイバー攻撃 | 金融 | マルウェア | トロイの木馬

　セキュリティ専門家らが新たなバンキングマルウェアの亜種を発見した。このマルウェアは、地下市場で高額取引されている他、マルウェア開発では珍しくコードが一から書かれている。

　RSA FraudActionチームは、2014年6月上旬のブログ記事で「Pandemiya」と呼ばれる新種のマルウェアについて詳しく解説している。同チームによると、Pandemiyaはマルウェアの地下市場において1500～2000ドルで販売されているという。価格は購入者が求める機能によって異なる。

　Pandemiyaは、さまざまな点において典型的なバンキングマルウェアといえる。例えば、フォームデータやログイン資格情報を盗むことが可能だ。さらに、主要な3種類のWebブラウザに対応した悪意のあるWebページを表示させることで、標的についてより多くの情報を収集することができる。

　RSAチームによると、Pandemiyaに感染したPCとボットネットの通信も暗号化されているという。Pandemiyaにはモジュール式という特徴がある。つまり、DLLプラグインを使用して、簡単に機能を拡張および追加できる。リバースプロキシやFTPログイン情報の盗聴機能など、一部のDLLプラグインは高値で販売されている。

　Pandemiyaは「Zeus」のソースコードを基に作成されていない点で他のマルウェアと一線を画している。Zeusのソースコードは2011年にインターネット上に流出している。それ以来、「Citadel」「Carberp」「Zberp」など、さまざまな悪質なバンキングマルウェアの作成者が、Zeusのソースをこぞって使用してきた。

　「今回の調査を通じて、Pandemiyaの作成者がこのマルウェアのコード作成に1年もの歳月を費やしたことが分かった。また、2万5000行以上にも及ぶ新しいコードがC言語で記述されている。このように新たなコードで構成されたトロイの木馬が出現することは地下市場では珍しい現象だ」とRSAチームはブログ記事で報告している

　「Gameover Zeus」は、法執行機関による世界的な摘発作戦の対象となった。この作戦の結果、ボットネットに感染した30万台以上のPCで駆除が行われ、正常なサーバへと復帰している。

　Pandemiyaは、マルウェアとしては比較的高価であるなどの理由から、現時点では普及が抑えられているとRSAチームは指摘している。だが、Pandemiyaの作成者が、Gameover Zeusの活動停止によって生じた一時的な隙を狙っている可能性は否定できない。

　「Pandemiyaの需要が高まるかどうかが判明するまでには時間がかかるだろう」とRSAチームは述べている。

TechTargetジャパントップセキュリティ