EMCジャパン RSA事業本部は2月24日、オンライン詐欺に関する説明会を開催し、トロイの木馬として猛威をふるう「SpyEye」に最新バージョンが登場したことを明らかにした。
SpyEyeは、2009年12月に登場したオンラインバンキングを狙うトロイの木馬。EMCジャパン RSA事業本部 マーケティング部 シニアマーケティング・プログラムマネージャーの水村明博氏は、「SpyEyeが登場したころは、『Zeus』がトロイの木馬の神として君臨していたが、SpyEyeは絶え間なくアップグレードして急速に市場で存在感を増し、洗練度ではZeusに後れを取っていたものの低価格であることが評価された。また、Zeusを無効化して再感染させる機能なども備わり、SpyEyeのドロップサーバの数は右肩上がりで増加している」と説明する。
トロイの木馬市場でシェア争いをしていたSpyEyeとZeusだが、水村氏によると2010年11月にはこの2つが統合されたのだという。統合の際にSpyEyeの開発者であるHardermanという人物は、感染対象からの除去を困難にすることや、ZeusとSpyEyeのいずれの管理者にも使いやすい新コンソールを提供することなどをメッセージとして発信したという。こうして登場したSpyEyeの最新版はV1.3で、すでに闇市場にて入手可能なのだという。
V1.3の特徴は、まず感染力がより強化されたことだ。従来はブラウザのキャッシュ機能への対応に課題があり、ブラウザがキャッシュ上のファイルを表示しようとした場合に偽のコンテンツを注入できなかったが、ZeusのIE向けHTMLインジェクションを統合したことで、例えばオンラインバンキングにてユーザーに正しく振り込みが完了したと思わせる画面を表示させ、裏では犯罪者の口座に振り込まれるようにするといったこともできるようになった。
V1.3ではリバースエンジニアリング対策も強化されたという。設定ファイルに対する暗号化技術を改良したことで、セキュリティソフトの自動解析に対抗できるようになった。また、一般の市販ソフトのようにモジュールごとに購入できるようになったことも特徴だ。モジュール化の実現で、デザイン上の選択肢が拡大し、複雑なプログラムの編集も簡素化されたという。
またV1.3は、頻繁な改造に適した構造を採用し、重要情報の保管場所をPEリソースセクションの内側に変更した。これにより、新型亜種作成用ツールの実装に必要なプログラムが単純化され、SpyEyeの機密部分は暗号化され難読になった。さらに、新しいリモートプロセスインジェクション技法を採用し、SpyEyeの検知が困難になったほか、不正コードを二段階でリモートスレッドに注入するなどしてステルス性を向上しているとのことだ。
もちろんRSAでは、SpyEyeのようなソフトの購入を勧めているわけではない。こうした脅威に対抗し、RSAはトロイの木馬対策サービス「RSA FraudAction Anti-Trojan Service」などを提供し、日本でも30以上の金融機関に採用されている。しかし水村氏は、「より高度なセキュリティ機能を導入し、オンラインバンキングの治安が向上すれば、トロイの木馬も機能強化されてしまう。サイバー犯罪者たちとの戦いはこれからも続き、今後もSpyEyeは注目されるだろう」と警告した。