Webで共有しながらソフトウェア開発するプラットフォームサービスとして知られる「GitHub」を利用している開発者たちに、怪しいメールが届いている。あたかも受取人の開発技術を高く評価しているかのような内容だが、添付ファイルにはトロイの木馬が仕組まれている。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
クラッカーがオープンソースプログラマーのコンピューターにトロイの木馬を感染させようとしている、というリポートが登場した。その際には、GitHub開発者に対して標的型マルウェア攻撃をメールにて仕掛けるという。
この攻撃は最初、2017年1月に発見された。この攻撃はメールという形で到着する。メールの内容は、被害者の技量をたたえた上でプログラミングの仕事を依頼するというものである。
こんにちは。オンラインであなたのソフトウェアを見つけました。私の進めているプロジェクトのためにコードを書いてくれませんか?詳細については添付しました。金額は応相談ですが、もし対応していただけるようであれば、どうかご返信願います。
そのほかにも、攻撃者のアプローチの仕方がもう少し工夫が凝らされたものも最近は見受けられる。
こんにちは。
私の名前はアダム・ブッフビンダー(Adam Buchbinder)です。あなたのGitHubのレポジトリーを拝見し、大変感銘を受けました。実は、私の会社で人材を募集しておりまして、その募集しているポジションにあなたの適性が大変高いのではないかと考えております。
会社と仕事の詳細については添付ファイルをご覧ください。私のメールアドレスは本ファイル中に記載されているので、お気軽にご連絡ください。
どうぞよろしくお願い致します。
アダム
賞賛の辞を常に求めているプログラマーにとって、その怪しげな添付ファイルは魅力的にしか映らない。彼らは偽りない仕事のオファーだと信じ切ってその添付ファイルを開いてしまうのだ。
添付ファイルはアーカイブ形式であり、ブービートラップが仕掛けられたWord文書が入っているようである。そしてこのWord文書を開くと、被害者のPCに不正コードがインストールされる仕掛けになっている。
「パロ・アルト」(Palo Alto)の研究者により「ディムニー」(Dimnie)と命名されたこのマルウェアは、ESETのセキュリティ製品では「VBA/TrojanDownloader.Agent.CLB」として検知される。
もし標的のコンピューターへの感染になんとか成功したならば、そのトロイの木馬はPCのアクティビティーを監視できてしまう。そして、キーボードの入力を記録したり、スクリーンショットを撮ったり、情報を盗んだりできてしまうのだ。誰か知らない人が、プログラマーがオープンソースのソフトウェア開発をしているのを監視しており、場合によっては、彼らのパスワードを盗み、これから公開されようとしているオープンソースコードに干渉してくる可能性もある。
トロイの木馬のディムニーの最新版が以前よりも進化している部分は、そのふるまいをカモフラージュする手法にある。そのプログラマーのネットワーク上にて動作しているセキュリティ製品に、ディムニーの情報窃盗活動が検知されるのを回避しようとしているのだ。
ディムニーの驚くべき点はもう一つある。それは、ディムニーが自己破壊可能であることである。すなわち、開発者のPC上にディムニーが存在していたという証拠を破壊することができるのだ。
GitHubを利用した開発者を標的としている人が誰であれ、その攻撃の動機についてさまざまな憶測がなされている。しかし、その攻撃の首謀者は、情報を収集し、そしておそらく開発者が働いている可能性のある他のビジネスにアクセスするのに役立つ認証情報を盗むことを目的としているのではないかと考えられている。さらに、攻撃者が信頼できる正当なプログラマーのふりをしてプログラミングコードに秘密裏に弱点をつくる可能性も存在する点は、見過ごしてはならない。
これらの標的型攻撃は、全てのコンピューターユーザーに対する、健全なリマインダーである。すなわち、頼んでもいないのに送り付けられた添付ファイルを開くべきかどうかは、いま一度よく考えるべきだ、ということでもある。
