情報を盗むトロイの木馬が含まれたバージョンのオープンソフトウェア「Putty」のクライアントが出回っていることが明らかになった。
Symantecの研究者によれば、開発者のプライバシーや安全性を侵害する可能性のある、オープンソースSSHクライアントPuTTYの非公式バージョンが配布される事例が見つかっている。
Simon Tatham氏が開発したPuTTYは、世界中のウェブ開発者、管理者、ITスタッフに利用されている。このクライアントは協調作業やITプロジェクトの作業で使われており、暗号化された接続を通じてリモートサーバに接続するのに使用される。
しかし、今回はPuTTYのオープンソースであるという性質が悪用された。
トロイの木馬バージョンのPuTTYは、公式ドメインではないサイトから配布されており、攻撃者はユーザーを自分たちのウェブサイトに誘導してこの改変バージョンをダウンロードさせている。
「ユーザーがこの悪質なバージョンのPuTTYを使用して他のコンピュータやサーバに接続すると、意図に反して攻撃者に秘密のログイン資格情報を送信してしまう可能性がある」とSymantecの研究者は述べている。
トロイの木馬バージョンのPuttyが最初に発見されたのは2013年だが、当時の拡散の度合いは低かった。Symantecの研究者は、攻撃者がどのスキャナがこのマルウェアを検知するかをテストしていたのだと推測している。しかし今回は、ユーザーがGoogleでダウンロードファイルを検索した後、公式サイトではなくセキュリティ侵害を受けているサードパーティーのウェブサイトを選んでしまうことで、このファイルが広がっている。
トロイの木馬バージョンには、このメッセージが表示される。
Symantecによれば、セキュリティ侵害を受けたウェブサイトは、ユーザーを何度かリダイレクトして、最終的にアラブ首長国連邦内のIPアドレスに接続させており、そこから改変されたPuTTYがダウンロードされる。
データの窃盗に改変されたオープンソースソフトウェアが使われるのは、これが初めてではない。Symantecによれば、2014年にも改変されたバージョンの「FileZilla」FTPクライアントが同じグループによって作成され、配布されている。
この種の悪質なソフトウェアから身を守るには、常にダウンロード元が公式サイトであるかを確認する必要がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
