ビジネスとしてのパスワード窃盗

オンライン金融取引が盛んに行われている現在、銀行口座などのパスワードを盗むことはサイバー犯罪者にとって極めて魅力的な行為といえます。犯罪者は世界中に存在しており、トロイの木馬のようなマルウェアを使用して、ユーザーのログイン情報を盗みます。こうして得た情報は、悪質なユーザーに転売されて、違法ビジネスに悪用されています。今回はそのパスワード窃盗マルウェアの一例として、「Silentbanker」を紹介します。

「Silentbanker」の説明に入る前に、まず「Internet Explorer(IE)」用プラグインの一種であるブラウザヘルパーオブジェクト(BHO)を説明したいと思います。ソフトウェア開発者がBHOを使うと、IEのソースコードを参照することなくIEに機能を追加することが可能になります。Webブラウザ開発者の力を借りずに機能を追加できるため、BHOは悪くないアイデアといえます。また機能を追加したい場合でなくても、BHOは役立ちます。また、ユーザー・インタフェース(UI)をカスタマイズしたり、WebブラウザでPDF文書を読んだりする拡張機能をダウンロードできるなど、BHOを活用するとよりと便利になるともいえるでしょう。

ただこの状況は、BHOの作者やBHOダウンロード用サーバー、ユーザーの使っているDNSサーバーをどの程度信頼するかによって変わります。残念ながら、BHOの中には危険なものが存在します。犯罪者たちは、有益で無害な機能をマルウェア拡散やログイン情報などの取得に使用する方法を、常に考えています。そしてSilentbankerは、BHOを装ってパスワードを盗もうとする、悪質かつ巧妙なマルウェアの一つです。

Silentbankerは、ユーザーが望まない動きをする「ヘルパー」ということができるでしょう。Silentbankerは、IEにインストールされると自動的にロードされ、IEとインターネット間の通信に割り込めるようになります。柔軟な設定が可能で、オンラインバンキングのユーザーをターゲットにすることができます。オンラインバンキングにかかわる通信を認識して監視するだけでなく、HTMLページを改変してコードを追加したり通信内容を変えたりする機能も持っています。「man-in-the-middle」という手法を使用することで、通信相手のサーバーに送る前の未暗号化データと、サーバーから受け取った後の復号済みデータを確認、改変することができます。仮にSSLで通信を暗号化したとしても、安全は確保できません。SilentbankerはIEの上位層で活動するため、SSLは対策にならないからです。

Silentbanker BHOのスクリーンショット

上記スクリーンショットは、Silentbankerの攻撃用モジュールの擬似コードです。Silentbankerはこのコードを使用し、Windowsの機能と自らの攻撃ルーチンを接続しています。そして、ホスト侵入防止システム(IPS)といったセキュリティアプリケーションを無効化してしまいます。なお、SilentbankerはWindowsの機能と攻撃ルーチンを接続する前に、「read_whole_file」を使用して、ハードディスクからWindows用ライブラリの本来のコードを読み出し、「remove_API_hooks」で自分のプロセス用メモリーにマッピングを行い、以前に確立されていた接続を無効にします。その結果、同じ手法を使うセキュリティアプリケーションが機能しなくなります。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速