ラスベガス発--膨大な数の「Windows」コンピュータが「Clampi」という名のトロイの木馬に感染しているという。Clampiは2007年以来、感染したPCからオンラインバンキングなどのログイン認証情報を盗んでいると、あるセキュリティ研究家が「Black Hat」セキュリティカンファレンスで発表した。
Ligats、Ilomo、Rscanといった別名を持つClampiは、「Flash」および「ActiveX」の脆弱性を利用する、悪質なコードをホスティングしたウェブサイトをユーザーが訪問した場合に、ドライブバイダウンロードによってコンピュータに感染する。SecureWorksのCounter Threat Unitのマルウェア調査担当ディレクタを務めるJoe Stewart氏が明らかにした。
感染したコンピュータで、標的となったバンキングサイトなどのサイトをアクセスすると、ログインなどの情報が盗まれる。
Clampiはこの数カ月間で、Microsoft製品ベースのネットワークを介してワームのように急速に広がったとStewart氏は述べた。まず、トロイの木馬で盗んだか、感染したシステムにログインした管理者から盗み出したドメイン管理者の認証情報を使用する。次に、Windowsで実行可能なSysInternalsツールである「PsExec」を用いて、ドメイン上のすべてのコンピュータに自分自身をコピーする、と同氏は述べた。
またClampiは、犯罪者向けのプロキシサーバとしても動作し、盗んだアカウントにログインするときの犯罪者の行動を匿名化する。
Stewart氏は、4500サイトのうち、70カ国における1400のウェブサイトがトロイの木馬の攻撃を受けたことを確認している。それらのサイトとしては、銀行、クレジットカード会社、オンラインカジノ、小売サイト、公共機関、広告ネットワーク、証券仲介業者、住宅ローン貸付業者、政府、軍事ポータルなどがある。
Stewart氏は、使用されている手法から考えて、Clampiの背後の犯罪者は東欧にいると思われると述べた。
Stewart氏によると、このトロイの木馬の最新版のサンプルを入手するのに、数日または数週間かかる場合があるため、アンチウイルスによる保護は遅れ、PCが感染してしまってから届くことが多いという。
「一般的にバンキングを狙うこの種のトロイの木馬は、オンラインバンキングを利用するホームコンピュータのユーザーおよび企業に対する最大の脅威である」と同氏は述べた。「アンチウイルスに頼ることはできない。何らかの時点で悪質なサイトを訪問してしまい、コンピュータがトロイの木馬に感染してしまう」(Stewart氏)
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
