2012 年 7 月、有名なリモートアクセスツール(RAT)、Blackshades RAT に関与していた中心人物が逮捕されたと報じられました。主犯格が逮捕され、2010 年にはそのコードが漏えいしたにもかかわらず、Blackshades RAT は今もなお販売され、サイバー犯罪に使われています。それどころか、シマンテックセキュリティレスポンスは、過去 5 カ月の間に Blackshades RAT の使用が増加していることさえ確認しています。
Blackshades RAT(シマンテック製品では W32.Shadesratとして検出されます)は、侵入先のシステムからパスワードなどのアカウント情報を収集し、悪質なコマンド & コントロール(C&C)サーバーに送信します。最近の増加傾向を踏まえて、今回の感染活動を管理している C&C サーバーを調査したところ、Cool 悪用ツールキットとの関係が明らかになりました。Cool 悪用ツールキットは W32.Shadesrat やその他のマルウェア群の拡散に使われています。
図 1. 2013 年 7 月以降の Shadesrat の推移
最近見つかった脆弱性を悪用して、産業界やシンクタンク、政府機関、一般ユーザーを狙う、Web サーバーへの攻撃がここ数年、目に見えて増加しています。どの場合でも攻撃者の目標は非常にはっきりしており、ユーザーのコンピュータ上で悪質なペイロードを実行することにあります。攻撃者がそのために使っているのが、各種の悪用ツールキットです。
W32.Shadesrat による感染件数の増加を調べるなか、シマンテックは感染したコンピュータからアカウント情報を収集する際に使われている数百の C&C サーバーを特定しました。W32.Shadesrat は、電子メールサービス、Web サービス、インスタントメッセージアプリケーション、FTP クライアントなどのさまざまなアカウント情報を狙っています。スパマーが新しい電子メールアカウント情報を求める場合でも、攻撃者が新しいサーバーやサービスへのアクセスを狙ってセキュリティ侵害を試み続けたり、特定の情報の抽出を狙ったりする場合でも、目的はこの手の情報です。
シマンテックの調査によると、ほぼすべての C&C サーバーがいずれかの時点で悪用ツールキットをホストしており、Blackhole 悪用ツールキットと Cool 悪用ツールキットの作成者が逮捕されるまでは、後者が最も有力でした。これらのツールキットは、ユーザーのコンピュータでさまざまな脆弱性を悪用し、悪質なペイロードを実行して感染を試みます。アンダーグラウンドのグループは、こうした攻撃を実行できるだけの多様なリソースを抱えています。
図 2.作成者逮捕までの 9 月から 10 月の間に C&C サーバーで使われた悪用ツールキット
また、Blackhole 悪用ツールキットと Cool 悪用ツールキットの作成者が逮捕された後で、この 2 つの悪用ツールキットがほぼ姿を消し、新たな選択肢として Neutrino が浮上したことも確認されています。
図 3.作成者逮捕後の 10 月から 11 月の間に C&C サーバーで使われた悪用ツールキット
無防備なユーザーが感染してしまうと、複数のペイロードがダウンロードされ、RAT によって制御を乗っ取られるか、ダウンローダによって別の機能を持つ後続のマルウェアがインストールされてしまいます。
C&C サーバーは、以下のように他のマルウェアも拡散します。
図 4. 9 月から 10 月の間に C&C サーバーによって拡散された脅威
シマンテックは遠隔測定システムを使って、C&C サーバーの所在地と、W32.Shadesrat の感染が多い国や地域を特定しました。
図 5. C&C サーバーの所在地
図 6. W32.Shadesrat の感染状況
C&C サーバーのホストが最も多く置かれていたのは、リトアニアと米国です。感染件数が最も多いのはインドで、米国、英国がそれに次いでいますが、W32.Shadesrat の被害は世界中に広がっています。
W32.Shadesrat の感染状況を見ると、攻撃者は可能なかぎり多くのコンピュータに感染することを試みているようです。特定のユーザーや企業を標的にしている様子はありません。
以上のことから、W32.Shadesrat の完成度の高さと、攻撃者がふんだんに使えるリソースの豊富さがうかがえます。お使いのソフトウェアは常に最新の状態に保ち、ウイルス対策ソリューションについても最新の定義に更新するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。