Tweet

RSAセキュリティが月例レポートで警告

「指令はTwitterのRSSフィード」、新手のトロイの木馬

2010/06/24

　RSAセキュリティは6月24日、オンライン犯罪に関する月例アップデートを公開した。RSA Anti-Fraud Command Center（AFCC：オンライン不正対策指令センター）で収集した情報に基づいて毎月公開しているレポートの最新版だ。この中で同社は、Windows Liveをはじめとする無料のWebサービスを悪用するトロイの木馬「Brazilian Banker」に注意を呼び掛けている。

　従来型のトロイの木馬は、攻撃者が独自に設置したコマンド＆コントロールサーバを介して命令を受け取ることが多かった。これに対しBrazilian Bankerは、Windows Liveのプロフィール情報やGoogle Groups、あるいはTwitterのRSSフィードを利用して命令を受け取る。

RSAセキュリティ マーケティング統括本部 シニアマーケティングマネジャー 水村明博氏

　過去に存在したトロイの木馬やボットの中にも、Windows Liveのようなインスタントメッセンジャーを利用するものがあった。ただ、この場合、メッセージ本体を通じてコマンドを受け取っていたのに対し、Brazilian Bankerは暗号化されたプロフィールページを読み取って指令を受け取り、スパムメールの送信をはじめとする攻撃を仕掛けたり、自身のアップデートを行う仕組みだという。Google Groupsではニュースグループを介して、Twitterでは不正なアカウントのRSSフィードを介して、同じように指示が実行される。詳しい知識を持たなくても、Twitterを使ってボットネットを構築できるツールキットも作成され、出回っているようだという。

　同社マーケティング統括本部 シニアマーケティングマネジャーの水村明博氏によると、こうした形で無料のWebサービスを悪用するトロイの木馬は2009年9月ごろから存在していた。だが、Brazilian Bankerのように、「ブラジルなどラテンアメリカの銀行の顧客」というように特定の層にターゲットを絞ったトロイの木馬にこうした手法が使われたのは初めてという。

　水村氏は、オンライン詐欺師らがこうしたサービスを利用する理由として、「コマンド＆コントロールサーバのためにドメイン名を維持したり、ホスティングサービスを利用する必要がないことが考えられる」と述べた。また、取り締まりの結果アカウントが閉鎖されても、次々に新しいアカウントを無料で作れることも魅力だろうという。

　ただし、トロイの木馬の中に占めるBrazilian Bankerの割合は1％程度。今後も、サービス提供者側が厳しく取り締まりを行えば、大規模に拡散する可能性を抑えられるだろうとの見込みだ。