PR

 EMCジャパンは2011年6月27日、オンライン犯罪の現状についてメディア向け報告会を開催した。EMCジャパンによれば、最近のオンライン犯罪の最新動向は大きく2つ。1つは、「闇ショップ」がPCへのリモートアクセス情報を販売するようになってきていること。もう1つは、ファーミング攻撃を仕掛ける新種の「トロイの木馬」が登場していることである。

 1つ目の闇ショップの動きについて、EMCジャパンの水村明博RSA事業本部プリンシパルマーケティングプログラムマネージャーは、「犯罪行為をやりやすくするためのより詳細な情報を販売したり、詐欺を試みる人向けにツールやサービスを充実させる地下ショップが、ますます好評を博している」と解説する。

 特に最近は、「ボット化」したPCに遠隔からコントロールするための情報が販売されるようになってきた(ボットとは)。具体的には、RDP(リモート・デスクトップ・プロトコル)などを使いPCにリモートアクセスするためのユーザーIDやパスワードといった情報である。これらの情報を購入する人の多くは、侵入したPCをDDoS攻撃やスパムメールの送信といった犯罪行為の「踏み台」に使う。またはPC内の個人情報を使ってPCのユーザーになりすまして、犯罪行為を実施する。

 こうした情報はすでに2006年頃から流通していたが、EMCジャパンによると最近は流れが変わってきているという。「地域名や回線速度といった、犯罪に有用な情報が整理されている。また、大量に流通している。当社が調べている限り、まだ日本国内での被害例はないようだが、引き続き警戒が必要だ」(水村マネージャー)。

 もう1つのトロイの木馬は「Rootkit.Win64.Banker.a」または「Rootkit.Win64.Banker.dy」と呼ばれるもの。これらのトロイの木馬は「ファーミング」というタイプの犯罪行為を企てる。ファーミングとは、設定ファイルを書き換えてインターネットの閲覧ユーザーを偽のWEBサイトに誘導し、不正に個人情報を得る犯罪行為のこと(ファーミングとは)。

 これらトロイの木馬は、「ルートキット」と呼ばれる、PCへの侵入者にとって都合の悪い情報をユーザーから隠ぺいする機能を備えている(ルートキットとは)。また「ステルス性」も兼ね備える。例えば、偽のサイトにアクセスしているのに鍵マークが表示されるので、ユーザーが気づきにくい。さらには、これまでのトロイの木馬とは異なり、32ビットOSだけでなく64ビットOSにも感染する。

 幸いにして、これらトロイの木馬は、日本のサイトではなく、ブラジルの銀行を標的としている。ただし今後同種のマルウエアが日本の金融機関や企業を狙わないとは限らないので、注意が必要である。なおEMCジャパンでは企業向けにこうしたファーミング対策のサービス「RSA FraudAction(フロードアクション)」を展開しており、すでに国内の主要な金融機関や官公庁が利用しているという。