ラップトップコンピュータの Web カメラに目隠しを貼っている人がいます。皆さんも案外そうかもしれません。果たして、それは用心しすぎ、被害妄想、あるいはちょっと変わった行為なのでしょうか。それとも、そこまでする理由があるのでしょうか。自分のコンピュータで行動を見張られていた、あるいは Web カメラがいつの間にか侵入を受け、恥ずかしい映像や違法な動画を盗み出されて恐喝のネタにされたという話を聞いたことのある人も多いでしょう。そうした体験談は本当なのか、そして被害妄想と思えるくらい用心するのも無理もないことなのかと問われれば、残念ながら答えはイエスです。こうした行為に対する警戒は必要であり、この手の悪質な行為やもっと悪質な活動に利用できるプログラムは無数に出回っています。リモートアクセス型のトロイの木馬(RAT)は、被害者の知らないうちにインストールされるプログラムで、これにより攻撃者は侵入先のコンピュータにリモートからアクセスして、制御することができます。最近では、いつの間にか忍び寄る(Creep)その性質からクリープウェア(Creepware)とも呼ばれています。
今回のブログでは、このクリープウェアについて解説します。クリープウェアの実態と機能、これまでの被害の実状や今後、そして被害者と加害者について解明するとともに、アンダーグラウンド市場でのソフトウェアの流通から被害者の売買まで、クリープウェアの経済的側面にも検証します。最後に、クリープウェアの拡散方法と自衛手段についてもお伝えします。
詳しい説明を進める前に、まずはこちらの動画(英語)をご覧ください。この動画では、深刻化するクリープウェアの問題について知っておかねばならない内容をご紹介しています。
図 1.この画像をクリックしてクリープウェアに関する動画を見る
クリープウェアとは
RAT とは、リモートからコンピュータを制御できるソフトウェアを総称するときによく使われる頭字語です。次のいずれの用語を表すときにも使われます。
- リモートアクセス/管理ツール(Remote Access/Administration Tool)
- リモートアクセス型/管理型のトロイの木馬(Remote Access/Administration Trojan)
「リモートアクセス型のトロイの木馬」は、ユーザーの知らないうちにインストールされて悪質な目的に利用されるという点で「リモートアクセスツール」とは異なります。リモートアクセスツールには多くの種類があり、テクニカルサポートや、旅行先から自宅または職場のコンピュータへの接続といった正規の用途で利用されています。ところが、リモートアクセスツールが備えている便利な機能そのものが、皮肉なことに悪質な行為にも利用できるため、そのような機能を想定した大量のマルウェアが設計されることになってしまいました。そうしたプログラムを「リモートアクセス型のトロイの木馬」と呼びます。攻撃者は、トロイの木馬がインストールされたコンピュータをほぼ完全に制御できるようになります。トロイの木馬の存在はなかなか気付かれることがなく、実際にコンピュータの前に座っているのとほとんど同じ操作が可能なので、Web カメラで映像を録画するのも簡単です。このように悪質で「いつの間にか忍び寄る」性質の活動が最近の事件で注目を集めたことから、リモートアクセス型のトロイの木馬を指して「クリープウェア」という名前が使われ始めました。
クリープウェアはクライアントサーバーモデルを採用していますが、クライアントサーバーシステムの設定を論じるときに想定する通常のモデルとは大きく異なっています。クリープウェアはこのプロセスを反転して、被害者のコンピュータをサーバーに、攻撃者のコンピュータをクライアントにします。被害者のコンピュータがクリープウェアに感染すると、攻撃者はそのコンピュータに要求を送ってファイルを取得したり、その他のさまざまな悪質な行為を実行したりできるようになります。
何が問題なのか
以前はクリープウェアもまだそれほど使われていませんでしたが、残念ながら現在では珍しくもなくなりました。クリープウェアのユーザーは、脅迫や詐欺で金儲けを狙うものから、無害な娯楽やいたずら程度にしか考えていないものまでさまざまです。両者の行為はまったく別物のように思えるかもしれませんが、どちらもコンピュータに不正にアクセスするという点では、倫理的に間違っているだけでなく、重大犯罪であることに変わりはありません。
特に懸念されるのは、クリープウェアのユーザーにモラルの欠如が感じられることです。クリープウェア専用のセクションが設けられた多数のオンラインフォーラムをざっと見れば、その傾向が如実に表れています。
図 2.「シャレでやっているだけ」
図 3.被害者に対する脅迫
こうしたフォーラムには、そもそもモラルなど持ち合わせていないユーザーが多いようですが、一部には物事の善悪についてひどく歪んだ考え方をするものもいます。あるスレッドには、クリープウェアによる RAT 行為を正当化するユーザーも存在し、信頼できない場所からプログラムをダウンロードしたりインストールしたりするほうが悪いと言って憚りません。
図 4.被害者に対する暴言
また別のフォーラムには、何も気付いていない被害者をただ眺めているだけなら実害はないだろうと考えているユーザーもいます。
図 5.プライバシーの侵害を正当化
クリープウェア(リモートアクセス型のトロイの木馬)に関連する無数の投稿を見ていると、ソフトウェアをセットアップして RAT 行為を始めるための助言を求めるユーザーが果てしなく湧いて出てくるように思えます。自分たちの行為に多少なりとも罪悪感を抱いているものは少数派であり、圧倒的多数は他人のプライバシーに立ち入ることが悪いとは微塵も思っていません。それどころか、RAT 行為によって金銭を得ることさえ悪事だとは見なしていないようです。「Morals of messing with people(いたずらのモラル)」というスレッドには、自分たちの行為が正しいのか仲間の意見を求めているユーザーがいました。
図 6.モラルをめぐる悩み
寄せられた回答は、予想どおりの内容でした。
図 7.「モラルなんて知るものか」
嘆かわしいことですが、クリープウェアのユーザーは被害者の受ける痛みがわからないか、あるいは気にもしていないようです。何も知らずにクリープウェアの犠牲になる人は多く、心に深い傷を負ったり、もっとひどい目に遭った人もいます。覗き行為を元に代償を求める手段のひとつが性的脅迫行為(Sextortion)で、これは身体的危害を加えない脅迫手段によって、被害者に性的な行為を強要するものです。
2013 年 8 月には、ミスティーン USA に選ばれた 19 歳のキャシディ・ウルフ(Cassidy Wolf)さんがクリープウェアの被害を受ける事件が発生しました。犯人は高校の同窓生で、彼女が寝室で着替えているところをクリープウェアを使って盗撮したのです。犯人は、その画像をインターネット上に公開すると脅して、もっと露骨な写真の撮影を強要しようとしましたが、彼女が警察に通報したことで、この高校生は逮捕され、他の国も含めて二十数人の女性たちをハッキングしていたことを認めました。
クリープウェアを使って、被害者のコンピュータ画面に「Web カメラの内部センサーのクリーニングが必要」だという警告メッセージを表示させる手口も大きく報道されました。この事件の場合、被害者は、Web カメラの内部センサーをクリーニングするにはコンピュータに蒸気を当てる必要があると指示され、何人かの女性はコンピュータを浴室に持ち込んだため、シャワーを浴びている映像を盗撮されてしまいました。
あいにく、こうした事件も、クリープウェアが実際の被害をもたらした事例のうち氷山の一角に過ぎません。被害者の多くはこの手の犯罪被害を届け出ることがなく、犯人が法の網に掛からないためです。攻撃者は盗み出したコンテンツや盗撮した画像をオンラインに公開すると言って被害者を脅迫するので、もしそうなったら一生噂がつきまとう可能性があります。一般に、このような嫌がらせやネットいじめは持続性があり、被害者が自殺に追い込まれることさえありえます。クリープウェアは、サイバーいじめにとっては理想的なツールと言えるようです。
クリープウェアと RAT は今や世界的な問題であり、世界中で悪質な目的に利用されています。
図 8.過去 6 カ月間に RAT の活動が確認された上位 5 カ国
クリープウェアの機能
では実際、クリープウェアを使って何ができるのでしょうか。アンダーグラウンド市場にはクリープウェアプログラムが溢れています。いくつか名前を挙げるだけでも、Blackshades(W32.Shadesrat)、DarkComet(Backdoor.Breut)、Poison Ivy(Backdoor.Darkmoon)、jRAT(Backdoor.Jeetrat)などがあり、その多くは同様の機能セットを中核に備えています。ここでは、その中から Pandora RAT(シマンテック製品では Trojan.Pandoratとして検出されます)を詳しく取り上げます。
Pandora RAT を使うと、攻撃者は侵入先のコンピュータで以下のものにアクセスすることができます。
- ファイル
- プロセス
- サービス
- クリップボード
- アクティブなネットワーク接続
- レジストリ
- プリンタ
加えて、攻撃者は以下のような活動を実行することも可能です。
- 侵入先のコンピュータのデスクトップをリモートから制御する
- スクリーンショットを取得する
- Web カメラで映像を記録する
- 音声を録音する
- キーストロークを記録する
- パスワードを盗み出す
- ファイルをダウンロードする
- Web ページを開く
- 画面にメッセージを表示する
- テキスト読み上げ機能を使って音声メッセージを再生する
- 侵入先のコンピュータを再起動する
- タスクバーを隠す
- デスクトップアイコンを隠す
- システムエラーやブルースクリーンを発生させる
使いやすさと美しいグラフィカルユーザーインターフェース(GUI)は、デザイン重視の現在では重要な要素ですが、クリープウェアでもそれは例外ではありません。Pandora RAT は、他の RAT と同じく、専門家だけでなく初心者でもすぐにマスターできる、使いやすい GUI を採用しています。かつては凄腕のハッカーしか使えなかったクリープウェアが、今やスクリプトキディからまったくの素人まで誰にでも手が出せるツールになってきたのです。
図 9. Pandora RAT のわかりやすいユーザーインターフェース
クリープウェアの使用目的は多種多様です。
- 盗撮
被害者の Web カメラやマイクを使って、密かに録音や録画を行う。
- 情報やファイルの窃盗
銀行口座やパスワードといった情報、画像や動画などのファイルをコピーまたは削除する。
- 恐喝/性的脅迫行為
コンピュータから盗み出した、または Web カメラを使って撮影した画像や動画を使って被害者を脅迫し、もっと露骨な画像や動画を撮影するためにポーズを取ることや性的な行為を強要したり、金銭を要求したりする。
- 荒らしや煽り
アダルト系やショッキングな Web サイトを開く、罵倒するメッセージを表示する、システムに損害を与えるなど、コンピュータに異常な動作を起こさせて、ただそれを見て楽しむ。
- コンピュータを利用して DDoS 攻撃などを仕掛ける
侵入先のコンピュータを利用して、分散サービス拒否攻撃(DDoS)や Bitcoin マイニングなど、被害者のリソースを悪用することで利益を得る何らかの行為を実行する。
クリープウェアの経済的側面
アンダーグラウンド経済においてクリープウェアは大きな市場であり、ソフトウェア販売を中心に急成長を遂げています。クリープウェア自体は、開発者自身の Web サイトや、ハッキング関連フォーラムに掲載されている広告から購入できます。そうしたフォーラムでは、FUD クリプターや JDB ジェネレータ、あるいはスレーブの広告がいくらでも見つかります。ここで挙げている用語を見慣れていない方は、定義を以下にまとめましたのでご覧ください。
- FUD: 完全に検出不可(セキュリティベンダーによっても)。
- クリプター: 実際のバイトをスクランブル化して検出されにくいようにファイルを再編成するツール。
- JDB: Java ドライブバイ。Java アプレットを Web サイトに配置し、ユーザーがそのサイトにアクセスするとポップアップを表示してユーザー権限を要求する。権限が付与されると、クリープウェアがダウンロードされる。
- スレーブ:クリープウェアに感染したコンピュータ。
難しそうに見えるかもしれませんが、クリープウェアをセットアップしたいと思ったら誰でも、作業代行を引き受ける「専門家」を見つけ出せば、それで済みます。サービスによって価格は大きく異なります。無料のクリープウェアや RAT も見つかりますが、有償版でも上限は 250 ドルほどで、FUD 暗号化やセットアップ費用といった追加コストが 20 ドルから 50 ドルです。しかし昨今のご多分に漏れず、オンラインで質問すれば無償で助言や説明を入手することができます。クリープウェアに関連するツールやヒント、手口などについて自分の知識を他人に伝えたいと考えているユーザーはたくさんいます。
自衛のために何ができるか
コンピュータをクリープウェアに感染させるには、以下の手法が考えられます。
- ドライブバイダウンロード: Web サイトにアクセスすると、知らない間にクリープウェアがコンピュータにダウンロードされる。
- 悪質なリンク:ドライブバイダウンロードをホストしている Web サイトにユーザーを誘導する悪質なリンク。ソーシャルメディア、チャットルーム、掲示板、スパムメールなどを使って拡散される。また、ユーザーアカウントを乗っ取って、友人から送信されたリンクのように見せかけたり、魅力的なメッセージで被害者を誘ったりする。
- 悪用ツールキット:感染した Web サイトにアクセスしたり、悪質なリンクをクリックしたりすることで、悪用ツールキットがホストされている Web サイトにリダイレクトされる。そこで、どの悪用コードを利用できるかを判別するスクリプトが実行され、悪用が可能な場合、クリープウェアに感染し攻撃者に通知される。
- ピアツーピアファイル共有/torrent: クリープウェアサーバーのインストーラが、人気のあるプログラムやゲームクラックなどのファイルにパッケージ化され、共有サイトで共有される。このファイルを実行すると、クリープウェアサーバーモジュールがインストールされる。
クリープウェアから保護するために、シマンテックは以下のことを推奨します。
- ウイルス対策定義、オペレーティングシステム、ソフトウェアを常に最新の状態に保つ。
- 不明な送信者からの電子メールは開かず、疑わしい添付ファイルもクリックしない。
- 電子メールやインスタントメッセージで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
- ファイルは、信頼できる正規のソースだけからダウンロードする。
- Web カメラが想定外の動作をしたら警戒する。Web カメラを使わない場合にはシャッターを閉じる。シャッターがなければ、使わないときにはテープなどで Web カメラをふさぐ。
現在、コンピュータは生活の中で大きな役割を占めています。これほど普及しているツールが、攻撃者の道具となって私たちのプライバシーを脅かすというのは、考えるだけでも恐ろしいことです。クリープウェアには確かに甚大な被害を及ぼす機能がありますが、しかるべき対策を講じることで自衛することが可能です。セキュリティソフトを常に最新の状態に保ち、基本的なセキュリティ対策に従っていれば、コンピュータにクリープウェアが忍び寄る心配はありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。