この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。
A
映画界にはアカデミー賞と対極にある最悪の作品が選ばれるラジー賞というものがあります。もしもマルウェアの世界にラジー賞があるとしたら、何が選ばれるでしょうか。ユーザーにとって最悪のマルウェアとは何でしょうか。
毎年2月の最終日曜(または3月の第1日曜)の夜には「アカデミー賞」の表彰式が開かれ、1年間で最も優れた俳優、監督、映画を選出し、映画界で最も栄えある賞、オスカー像を授与します。
一方、アカデミー賞表彰式の前の晩には別のセレモニーである「ラジー賞」(ゴールデン・ラズベリー賞)の表彰式も行われていることが、最近よく知られるようになってきました。そこではアカデミーとは全く逆に、銀幕で上映された最悪の映画が表彰されるのです。
このラジー賞は映画界のみに話を限るべきものではありません。映画の観客がひどい製作者のセンスに気分を害するのと同様に、ITユーザーもまた、マルウェア作者によってなされた不正な「作品」のもたらす被害に耐えることを強いられています。
そのようなわけで、今回は標的とされた人たちの暮らしに悪影響を与える不正なプログラムという「作品」を少し詳しく見ていき、それが何部門にふさわしいか考えてみたいと思います。
インパクト大だった「ブラックエナジー」
最終的なビジュアル効果という点から審査すると、一つ目のマルウェア・ラジー賞はマルウェア「ブラックエナジー」(BlackEnergy)のファミリーを使ってウクライナの電力会社を標的にした攻撃者に贈られるべきでしょう。その不正活動による被害は2015年もあと半月で終わるという年の瀬に、ウクライナ西部にあるイヴァーノ=フランキーウシク地方全体にわたってほぼ1週間の間続きました。数十万世帯が停電に見舞われたのです。
攻撃のシナリオ自体はシンプルなものでした。その電力会社の中で標的にされた人物に対して、不正な書類が添付されたスピアフィッシング型のメールが送り付けられます。このメールには、被害者を信用させ、そこに含まれるマクロを開かせるように促す文面が書かれています。首尾よく被害者がだまされると「ブラックエナジー・ライト」(BlackEnergy Lite)という亜種に感染してしまう、というストーリーです。
このブラックエナジー・ライトは、いったんアクティベイトされると、ある特定の判断基準によるチェックが可能となり、感染したコンピューターが本当に意図した攻撃対象に属しているかどうかをマルウェアの送り手が評価できるようになります。もしそのコンピューターがそれに該当するならば、「はまり役」とも言えるブラックエナジー亜種の「ドロッパー」と呼ばれるプログラムが標的となるシステムに送り込まれます。
果てしない偽装攻撃(ネバーエンディングストーリー)
もう一つのラジー賞は「ポルノクリッカー」の仲間に授与されるべきでしょう。これは、ESETの研究者であるルーカス・ステファンコ(Lukaa `tefanko)によって発見された「クリッカー」(Android/Clicker)として知られているもと同じものです。これは何部門における受賞かと言えば、やはり偽「装」ですから、衣装デザイン賞がふさわしいでしょう。
そのアプリは、自分をあたかも人気ゲームであるかのように装い、一定期間でその偽装を次々と変えることによって、Androidの公式ストアであるGoogle Playに登場し続けることに成功し、その結果、多くのユーザーは自分のデバイスにこのアプリをインストールしてしまいました。
こういったポルノクリッカーがインストールされると、広告に偽のクリックボタンを仕掛けられ、本来の広告主からの利益を横取りし、広告の仕組みそのものを破損するとともに、犯人の稼ぎだけを増やします。ユーザーの立場からすると、このトロイの木馬はインターネットのトラフィックを無駄に増長させ、従量課金型通信プランを利用しているユーザーに負担を生じさせます。
「Google Playではたくさんのマルウェアが暗躍しています。ほかのサイトでこれほど長期にわたって、そして、これほど膨大な数の侵入が起こったことはありません」とステファンコは述べています。ステファンコのチームによれば、直近の7カ月間で343個のマルウェアがGoogle Play上で発見されており、それらはそれぞれ平均3,600人のユーザーによってダウンロードされているとのことです。
通貨操作をめぐる最悪の脚本
私たちの関心を引くもう一つの不正なプログラムは、法人のオンラインバンキングを狙ったトロイの木馬「コーク」(Corkow)です。これは昨年における最悪の脚本とも言えるでしょう。このマルウェアは、ある銀行のドルとルーブルの売買に対して、1米ドル当たり55ルーブルから66ルーブルという通常より大きな変動幅で揺り動かしたのです。
それは被害者に利ざやの損失をもたらしただけではなく、為替取引のプラットフォームに対する無視できない攻撃となりました。また、実際のところ2億米ドル以上の注文(売り買い合わせて)を引き起こすことも可能だったのです。幸いこの「脚本」は出来が悪く完全には実演されませんでした。
「攻撃は14分間だけ続きました」「その後すぐに、そのマルウェアは自分自身を感染したシステムから消し去り、活動の全ての痕跡を消去するよう指令を受けました」とESETのマルウェア研究員であるアントン・チェレパノフ(Anton Cherepanov)は説明しています。
[関連記事]
史上最大の作戦? スティング?
ラジー賞になぞらえて最近のマルウェア動向を考えるならば、ここでもう一つ、国内での被害は全くと言っていいほど知られていませんが、英語圏においては、その挙動ゆえにとても目立つタイプのマルウェアを取り上げないわけにはいきません。いかさまポーカーとしても知られている「オドラノール」(Win32/Spy.Odlanor)は、昨年最悪のオンラインカードゲームの「プレイヤー」としてこの界隈での地位を確保しています。
オドラノールの不正な活動は、特に2つのとても人気のあるポーカーサイト「フルチルトポーカー」(Full Tilt Poker) と「ポーカースター」(PokerStars) を標的にしています。
まず、ほかの一般的な目的のアプリケーションのふりをして(オフィシャルサイト以外のソースから)、もしくはポーカーデータベースやポーカー計算機といったポーカー関係のプログラムを通して、ドライブバイダウンロードとして被害者のコンピューターに入り込みます。
感染に成功すると、このプログラムは標的とするマシン上でポーカー利用者のウィンドウのスクリーンショットを取り始め、それを遠隔地にある攻撃者のコンピューターに送ります。そして不正を行っている者に相手のカードだけではなく、プレイヤーのIDを見ることも可能にします。このIDがあれば、被害者を追跡して、再び彼と同じゲームのテーブルに着くことができるのです。最近のバージョンではさらにたちが悪くなっており、いろいろなブラウザーに保存されているパスワードなどのデータを盗むようになっています。
……ほかにもまだまだノミネートしなければならないマルウェアは数多くありますが、それはぜひ、皆さんで考えていただければと思います。