PR
画面1●ウイルスへのコマンドが仕込まれていた画像の例。日経コンピュータ編集部で一部修整した(EMCジャパンRSA事業本部の発表資料から引用)
画面1●ウイルスへのコマンドが仕込まれていた画像の例。日経コンピュータ編集部で一部修整した(EMCジャパンRSA事業本部の発表資料から引用)
[画像のクリックで拡大表示]
画面2●C&Cサーバーにアクセスすると表示されるWebページの例(EMCジャパンRSA事業本部の発表資料から引用)
画面2●C&Cサーバーにアクセスすると表示されるWebページの例(EMCジャパンRSA事業本部の発表資料から引用)
[画像のクリックで拡大表示]

 EMCジャパンのRSA事業本部は2014年3月5日、新たなウイルス(マルウエア、トロイの木馬)が確認されたとして注意を呼びかけた。攻撃者から送られるコマンド(命令)を画像ファイルに仕込んで検出されないようにすることが特徴。

 今回報告されたのは、「Stegano-Zeus」と名付けられたウイルス。「Zeus」と呼ばれるウイルスの亜種である。Stegano-Zeusは、ほかのZeusの亜種と同様に、C&Cサーバー(コマンド・アンド・コントロール・サーバー)から送られる攻撃者のコマンドに従って動作する。つまり、「ボット」として動作する。例えば、コマンドによって自分自身や攻撃対象のリストをアップデートする。キーロガーやWebカメラなどを起動するコマンドが送られる場合もある。

 Stegano-Zeusが今までのボットと異なるのは、攻撃者からのコマンドを画像の中に仕込むこと。通常は、コマンドをテキスト情報として送信する。このため、ネットワークの管理者がトラフィックを監視している場合などには、怪しい通信として検出され、Stegano-ZeusがPCに感染していることを気付かれる恐れがある。

 一方、画像ファイルは、Webの閲覧により頻繁にダウンロードされるために、怪しまれる可能性が低いという。コマンドは、画像ファイルのコメントフィールド(コメントセグメント)に入っていて、画像の表示には影響を与えない。RSA事業本部の情報では、女性の“セクシーな画像”に仕込まれた例を紹介している(画面1)。

 また、今回確認されたStegano-Zeusが使うC&CサーバーにWebブラウザーでアクセスすると、捜査当局によって閉鎖されたように見せかけるWebページが表示される(画面2)。しかしながらこれはダミーであり、実際の閉鎖サイトで表示される画面とは全く異なるという。