キーロガーが盗んだ入力内容をサイトに投稿

盗まれた入力内容がペーストビン(Pastebin.com)で大量に発見

2010年7月15日

 Pastebin.comで発見され増え続けているデータから、 キーロガーがこのサイトを使っているとの疑いが出てきました。 このサイトには、通常のオープンソースのプログラムコードが共有目的で投稿されますが、 最近、おそらくセキュリティ対策が十分ではないユーザのFacebookやメッセンジャーのパスワードが掲載されています。 公開されているこれら個人情報の量からすると、本人が手動で入力を行っているとは考えられません。 そこでさらに詳しく調査すると、大量のキーロガープログラムがそのサイトを利用していることが明らになりました。

snapshot
盗まれたデータ検索結果

 従来のキーロガーは伝統的なログ転送アプローチを使用して、 電子メールまたはFTPを経由して盗んだ入力データを送信します。 しかしこれは法的機関がリモート攻撃者を発見し、最終的に捕える可能性が非常に高い方法です。 特に電子メールのアプローチは、非常に”騒々しい“ため システム管理者が容易にその通信を発見してしまいます。 そして通常、メールがシステムに送信されるとアンチマルウェア機能がユーザに通知します。 また、電子メールポート(通常25、465、578へ設定)は保護またはブロックされている場合は、 キーロガーの”戦利品”は届けられることなく岸に打ち上げられてしまいます。

 よってこの特別なキーロガーは、 世界共通のホームページ送信機能を“カスタマイズ”した方法を使用しています。 Pastebinにはトラフィックをブロックするファイアーウォールが無いため、 追従経路が残らず、IPアドレス元、つまり攻撃者側の情報が知られません。

snapshot
Pastebinに表示されたキーロガーのレポート

 Pastebinは、標準テキストとして公開された何百万ものコードを管理している、 巨大な共同プラットフォームです。フォーラムやソーシャルネットワークとは異なり、 具体的に検索しない限りは、この公開されたテキストは他のユーザに見られにくくなっています。 しかし攻撃者にとっては目的の内容は容易にみつけることができます。

 被害者にとっては、キーロガーによって自分たちの認証情報が盗み取られただけではなく、 収集されたデータが全てのインターネットユーザに見られてしまいます。 さらに追い打ちをかけるように、 いったん掲載された全ての内容が永続的にアクセスできます。 たとえ各ページが削除されたとしても、データキャッシュを使うことで、 他の悪意のある人がいつでもこのような情報を収集して、新たに悪用します。

 マルウェアの作成者によって使用されている、地下フォーラムを丹念に捜査した結果、 かなりの量のソースコードが、これから登場するキーロガーに使われています。 これは単独のマルウェアの出現によって引き起こされる感染以上に、危機的な状況を引き起こします。 Twitterを使ったボットネットと同様に、 広く使われ評判の良いサービスを悪用してしまう新たな手口です。

snapshot
入手したデータをPastebin URLへ送信する方法を示すVisual Basicコードの断片

 追跡調査の結果、匿名の投稿先としてPastebinを使用しているキーロガーの一つを、 Trojan.Keylogger.PBin.AとBitDefenderでは定義しています。 このキーロガーはコンソールアプリケーションでPastebin APIを使用して、 ランダムな間隔で傍受されたキーストロークを送信しています。

snapshot




 BitDefenderに関する詳しい情報は下記をご覧ください。
 http://www.bitdefender.jp/

■BitDefender®について
 BitDefenderは、既知のウィルスを高い精度で検出するだけでなく、他社に先駆け10年前から開発を続け、精度を高めてきている高度なふるまい検知のテクノロジーB-HAVE(Behavioral Heuristic Analyzer in Virtual Environments)により、未知のウィルスを高い確率で検出できます。2009年1月のPC WORDL誌のテストでは、比較された9製品中、ふるまい検知による検出率において最高の結果となっています。その検出率の高さはEuropean IST、CSA Labs、Virus Bulletin、Checkmark、Checkvir、TUV、PC Answers、PC WORLDなど数多くのテスト機関や専門誌でリコメンド、ベストバイに選ばれるなど高い評価をいただいております。また、ウィルスだけでなく、スパムやスパイウェア、フィッシング詐欺、なりすましを防止するとともに、PCのパフォーマンスに与える影響を最小限に抑えます。

※BitDefenderでは、セキュリティ脅威や最新アップデートに関する情報を、Webサイト「MALWARECITY(マルウェア シティ)」で提供しています。 URL:http://www.malwarecity.com/(英語)

■BITDEFENDER社について
 BITDEFENDER社は、今日のコンピュータ環境の要求を満たす保護機能を提供する、世界を代表するルーマニアのセキュリティ・ソリューション・プロバイダです。180ヶ国以上で4,100万人以上の個人/企業ユーザに製品並びにサービスをお届けしています。
 http://www.bitdefender.com

■株式会社サンブリッジ ソリューションズについて
 サンブリッジ ソリューションズは、ベンチャー・ビジネス創生による豊富な経験をベースにした独自のノウハウによりベンチャー企業から大手企業まで、ビジネスの変革や新 規事業の立ち上げを強力に推進・支援する、お客様視点に徹したビジネス・サービスの提供を行っています。SaaSソリューションの開発・販売を始めとし て、様々なマーケティング活動の支援とシステム開発による実装・検証により、ビジネス・イノベーションの推進を支援しています。
 http://www.sunbridge-sol.com/

■製品に関するお問い合わせ
〒150-0013 東京都渋谷区恵比寿1-19-19 恵比寿ビジネスタワー13F 
株式会社サンブリッジ ソリューションズ
セキュリティ・インテグレーション・センター
TEL: 03-4360-6947(代)
FAX: 03-4360-4011
E-mail: sales@bitdefender.jp
URL: http://www.bitdefender.jp/ 
製品名などは一般に各社の商標または登録商標です。

©   2011 BITDEFENDER 販売元 | サイトについてのお問い合わせ | プライバシーポリシー | グローバルサイト