ソーシャルメディアをターゲット化する、サイバー犯罪

ソーシャルメディアは、インターネット上でコミュニケーションをとる手段として、既に一般的なものとなっています。ソーシャルメディアには様々な種類のものが存在しており、その人気も地域によって異なっているのが実情です。その一方で、サイバー犯罪者にとっても徐々に一般的なターゲットとなっており、これらの人気に便乗する様々な攻撃が現在行われています。今回は、その中でもドイツで人気のあるソーシャルメディア「StudiVZ」をターゲットとした攻撃を紹介します。

攻撃はStudiVZ用ツールバーのインストーラを装って、バックドア「Backdoor-CEP」の亜種を仕掛けるトロイの木馬です。このバックドアは、様々な悪事を働くと共に、ユーザーの使用しているPC画面のスクリーンショットを取得・保存し、キー入力を記録します。一見したところ、この改造版インストーラは無害に思えます。何故なら、ある種のセキュリティ製品の存在を検出するか、サンドボックス内やデバッガ上で動かされていて監視対象になっている可能性があると判断すると、全く悪さをしないからです。

このような隠蔽工作の裏では、不正な行為が大量に実行されています。このインストーラが動き出すと、その時点で内蔵している攻撃用コードを実行中のプロセスに挿入したり、停止中の無害なプロセスを実行させたりします。そして、自らのコードとプロセスのマッピング解除を行い、別の攻撃用コードをプロセスにマッピングし直して、同プロセスを再開します。この攻撃用コードは暗号化されており、挿入時に復号するだけでハードディスクには書き込まないため、検出が非常にされにくいという特徴があります。

怪しいプロセスを作る同バックドアの逆アセンブル結果

このツールバー用インストーラは、動作を終了するとWebブラウザ「Internet Explorer(IE)」のインスタンスを自動実行し、上記ソーシャルメディアのログインサイト「http://studivz.net」にアクセスさせます。IEにツールバーがインストールされ、上部に新たなボタンとロゴが追加されますこのような状態では、ユーザーはほぼ確実にこのソーシャルメディアにログインするでしょう。

この時点で、バックドアはメモリー上にある実行中のプロセスに既に大量感染しており、キー入力を漏れなく取得・保存するためのコールバック関数も設定済の状態となっています。

バックドアのキー入力取得・保存コードの一部

今回のBackdoor-CEPの亜種を作った人物は、StudiVZユーザーのログイン情報に高い関心を持っていると思われます。さらにこのトロイの木馬は、ドイツでホスティングされているサーバーと定期的に通信しようとします。ただマカフィー製品を使用することで、これらの悪質なインストーラをブロックすることができます。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速