400以上の銀行をターゲットにするトロイの木馬Silentbanker

　Symantecの研究者によれば、Silentbankerと名付けられたトロイの木馬は、米国で有名な銀行や米国以外の金融機関を含め、400以上の銀行をターゲットにしており、二要素認証を行うトランザクションを横取りしようとバックグラウンドで待ちかまえている。

　トロイの木馬による攻撃が一般的になった現在でも（しばらく見ていれば、それらはみな似ているように見えてくる）、Trojan.Silentbankerの多才さは際だっている。Symantecの研究者Liam OMurchu氏は、ブログの記事で次のように書いている。

　もっとも憂慮すべきなのは、このトロイの木馬の、正当なトランザクションに対して中間者攻撃を行う能力だ。このトロイの木馬は二要素認証が必要なトランザクションを横取りする。そして、密かにユーザーが入力した目的の銀行口座の詳細情報を、攻撃者のものに置き換える。もちろん、このトロイの木馬はユーザーがこの変更に気づかないよう、ユーザーに対しては彼らが見るだろうと期待している情報を表示するが、裏では常に攻撃者に情報を送っている。ユーザーはトランザクションに問題が生じていることに気づかないため、2つ目の認証パスワードも入力し、事実上自分の財産を攻撃者に渡してしまう。このトロイの木馬は暗号化の前にこれらすべてのトラフィックを横取りしてしまうため、SSLが使われているトランザクションでもこの攻撃は有効だ。残念ながら、われわれは完全にこのトランザクションを研究所で再現することはできなかった。しかし、このトロイの木馬のコードを解析したところ、攻撃者がこの機能を手にしていることが見て取れる。

　SilentbankerはSymantecが12月に報告したものだが、当時は危険は非常に低いと考えられていた。Symantecは現在、Silentbankerはより多くの呪文を持っているかもしれないと考えている。

　Symantecは、このトロイの木馬は必要に応じて適応すると書いている。もっとも簡単な方法を試し、その後より難しい手法を試していく。つまり、クッキー、パスワード、証明書、HTMLなど、財産を得るのに必要なものはなんでも使うということだ。

　このトロイの木馬が「古典的な中間者攻撃」を使って攻撃対象としている銀行は1つだけだが、これは別のサービスのパスワードを取得することもできるように作られている。更新情報をダウンロードし、参照情報を変えてリダイレクトするサイトを変える機能を使えば、用途は大きく広がる。

　コードやその他の詳細については、Symantecのブログを参照して欲しい。