バンキング型トロイの木馬
プンタ・カーナ発 – Kaspersky LabのSecurity Analysts Summitの2日目は、3つのトラックに分かれていました。カンファレンス参加者にとっては良いことですが、重要なトピックのいくつかを本記事で取り上げられなくなり、素晴らしい講演者たちを全員は紹介しきれなくなるということでもあります。そこで、コンシューマー向けの内容をピックアップしてお届けすることにしました。
2日目は「Zeus以降のバンキング型マルウェア」という講演から始まりました。この講演では、Kaspersky LabのGlobal Research and Analysis Team(GReAT)のマルウェアエキスパート、セルゲイ・ゴロバーノフ(Sergey Golovanov)が、未来のバンキング型マルウェアについて語りました。トロイの木馬Zeusは、長きにわたってバンキング型マルウェアの王者として君臨してきました。今でも多くの点で、バンキング型マルウェアの代表的な存在であり続けています。確かに他の脅威も出現してきましたが、Zeusと比べると、寿命や拡散の度合い、そして何と言っても効果という点において見劣りします。ゴロバーノフは、この状況が変わろうとしている可能性があると述べています。攻撃者は新たな手段を開発して銀行の認証情報を盗もうとしており、Carberp 2.0、Neverquest、Lurk、Shizといったトロイの木馬の台頭によって、Zeusが王座から引きずり下ろされる可能性もあります。
この講演とまったく同じ時間帯に、すぐ隣の部屋では、Twitterのチャーリー・ミラー(Charlie Miller)氏とIOActiveのクリス・ヴァラセク(Chris Valasek)氏が、自動車のハッキングに関する有名なデモを行っていました。(いつものように)とても素晴らしい講演でしたが、このデモについてはこちらの記事で詳しく取り上げています。デモの中で唯一、本当の意味で新しい要素だったのは、アンチウイルス型の検知手法が車載コンピューターとのネットワーク通信で異常を発見できる可能性が示されたことです。こうした車載ネットワークで送信されるトラフィックは実はとても予測しやすいものだ、と両氏は述べています。実際に、両氏のハッキングされた自動車に何をさせるにも、普通の車が送信する量をはるかに超えるデータパケットを使用しなければなりませんでした。このように、基準値からの逸脱を検知してブロックすることで、今後は自動車をハッキングから強力に保護できる可能性があります。もっと詳しく知りたい方は、ミラー氏とヴァラセク氏による短いポッドキャストを聞くか、Threatpostに掲載の詳細な解説記事をご覧ください。
Kaspersky Labのセキュリティエキスパートであるとファビオ・アッソリーニ(Fabio Assolini)とサンティアゴ・ポンティローリ(Santiago Pontiroli)は、バンキングでオフラインのユーザーから実際にお金を盗むという極めて巧妙な手口を紹介しました。2人は、ブラジルの企業や個人の間で広く利用されている「Boleto」という決済手段について説明しました。Boletoは銀行や企業が発行する特別な送り状で、請求書の支払だけでなく、商品やサービスへの支払に幅広く利用できるようです。ブラジルのサイバー犯罪者は、ちょっとしたハッキングと大がかりなソーシャルエンジニアリングによって、1つのBoletoと1人の個人(つまり銀行口座)を結びつけるバーコードなどの一意のIDを偽造できるようになりつつあります。犯罪者はこうしたBoleto(簡単に印刷可能)を手に入れると、標的の口座から自分たちの口座にお金を移すことができるようになります。実際のところ、この種の攻撃は(もちろんオンラインとオフラインの両方の消費者に影響)、古くから行われてきた偽装攻撃と同様のものであり、現代におけるオンラインバンクの口座の窃盗とも似ています。また、この時期に米国でよく発生する税還付詐欺にも似ています。
Qualysのぜい弱性リサーチおよび脅威情報担当ディレクターのビリー・リオス(Billy Rios)氏のデモでは、代表的な空港セキュリティシステムのいくつかにコードを挿入し、出力される情報を偽造することで、米運輸保安局などの空港警備機関が持ち込み禁止品の検知に使用するシステムをのぞき見できることを示しました。リオス氏はこのエクスプロイトを、あきれるくらい単純なものと表現しています。近日中にこの研究に関するレポート全文を紹介する予定です。レポートが公開され次第、当ブログにリンクを掲載します。
その後ゴロバーノフが、Kaspersky Labのウイルスアナリスト、キリル・クルグロフ(Kirill Kruglov)とともにステージに戻りました。彼らはATMやPOS端末が攻撃に対してどれだけぜい弱かをデモで示しました。こうしたデバイスの主な問題は、プラスチック製の筐体や数字キーの下で、パッチが適用されていないことも多い旧式のオペレーティングシステムが動作していることだ、と2人は説明します。その最たるものは、やはりWindows XPです。同OSにはエクスプロイト可能な既知のぜい弱性が無数に存在します。CrowdStrokeのティルマン・ワーナー(Tillman Werner)氏は、自身の講演でこの問題をさらに深く掘り下げ、攻撃者は特別に作成されたマルウェアと組織内部の情報を組み合わせることで、ATM強盗を何百万ドルという規模のビジネスに変えたと述べています。
リオス氏も同僚のテリー・マコークル(Terry McCorkle)氏を連れて再び登壇しました。両氏の「悦楽と利益のために所有する建物」というプレゼンテーションは、重要インフラ全体における安全(または危険)経路のほぼ完ぺきな縮図であり、デジタル世界のぜい弱性を悪用することで現実世界に被害をもたらす様子が紹介されました。具体的に言うと、Qualysのリサーチャーである両氏は、物理的な建物のセキュリティシステムやその他のエンドポイント機器が、ビデオ監視やアクセス制御システム(つまりドアのロック)を操作するため、さらには産業機器を攻撃するために、コントロール下に置かれて使用される可能性があることを示しました。
