現在地 HOME > 掲示板
> IT5 > 726.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT5 > 726.html
★阿修羅♪
|
|
| Tweet |
(回答先: 幕張メッセ、NETWORLD+INTEROPのMSのコーナー見てきました。 投稿者 クエスチョン 日時 2004 年 7 月 04 日 12:33:11)
「オンラインすり」にご用心――新たなトロイの木馬プログラム見つかる【IT_Media記事】IEのヘルパーファイル関連欠陥悪用(^^;
(1/2)
http://www.itmedia.co.jp/enterprise/articles/0406/30/news028_2.html
ポップアップウィンドウ経由で被害者のPCに入り込み、金融機関にアクセスしたときにそのアカウントとパスワードを盗み取るトロイの木馬プログラムが発見された。
悪質なポップアップウィンドウ経由で自らをインストールし、通常暗号化されている金融情報を被害者のコンピュータから奪うトロイの木馬プログラムが発見されたと、セキュリティ研究者らが29日(米国時間)に警戒を呼びかけた。
ネットワーク脅威監視サイトInternet Storm Centerのディレクター、Marcus Sachsによると、このプログラムはCitibankやBarclays、Deutsche Bankといった50件近い金融機関サイトの監視リストを保持していて、感染したPCがこのリストに記載されているにアクセスするたびにアカウント名とパスワードを奪うという。
「このプログラムは、ユーザーがこれらのサイトのどこかにログインしたことを認識すると、キー入力を記録する」とSachsは述べている。こうした銀行サイトでは、どこもログインデータを保護するため、ブラウザ内蔵の暗号化機能を使用しているが、このトロイの木馬プログラムはブラウザソフトウェアで暗号化される前の情報を奪うことができる。「ブラウザは、ユーザーのキーボードとコンピュータの間のデータは暗号化しない。ウェブ上(に出ていく)情報を暗号化するだけだ」(Sachs)
Sachsによると、このトロイの木馬は「ある有名ドットコム企業の従業員」のコンピュータ」で最初に発見されたという。この被害者は、悪質なポップアップ広告経由で同プログラムをインストールされた模様だ。こうした悪質なポップアップ広告は、Internet Explorer(IE)にあるヘルパーファイル関連の欠陥を悪用して、自らをユーザーのPCにインストールする。今回のケースでは、コンピュータのセキュリティ設定のおかげで、インストールは失敗に終わった。Microsoftでは、同社がパッチをリリースするまでの間、IEユーザーはセキュリティ設定を「高」にしておくことを薦めている。
Internet Storm Centerの研究者らは、被害を受けたドットコム企業から提供されたこのトロイの木馬ファイル「img1big.gif」を週末を通して綿密に調査し、リバースエンジニアリングをおこなった結果、このプログラムが多数の銀行サイトをターゲットとし、こうした銀行の顧客のアカウント情報を盗もうとしていることが判明した。
コンピュータウイルスや遠隔制御が可能なトロイの木馬(RAT)で最近見られる傾向として、金銭目当ての目的が強まっていることが挙げられるが、このプログラムもその1つにあたる。セキュリティ専門家らは4月に、「ボットネットワーク」と呼ばれるゾンビ化された家庭用パソコンのネットワークについて、金融情報の窃盗や追跡不能なスパムの送信に利用される可能性があることから、SasserやMSBlastなどの有名ウイルスよりも危険だと警告していた。
「オンライン口座の利用などに必要な情報を集める手口としては、以前はナイジェリアの富豪などからのメールを装う詐欺が最も一般的だった」とウイルス対策会社SymantecのSecurity Response Centerでシニアマネージャーを務めるOliver Friedrichsは言う。Friedrichsによると、現在のトロイの木馬のような脅威が出現したのは、ここ数カ月のことだという。
「オンラインすり」にご用心――新たなトロイの木馬プログラム見つかる (2/2)
http://www.itmedia.co.jp/enterprise/articles/0406/30/news028_2.html
前のページ | 1 2 |
この「img1big.gif」というトロイの木馬プログラムは、ファイル拡張子のせいで、インターネット上でよく見かける画像ファイルのように見えるが、実際には2つのプログラムで構成されている。その1つは、ユーザー名とパスワードを密かに奪うブラウザのヘルパーファイルで、もう1つはこのヘルパーファイルを被害者のコンピュータにインストールする「ファイルドロッパー(file dropper)」というプログラムだ。
前者のヘルパファイルは、主要ブラウザの多くに含まれるヘルパファイル機能を利用してデータを傍受し、また後者のインストール用プログラムは、Internet Explorerにある古い欠陥を悪用すると、Sachsは述べている。
「ユーザーが入力したパスワードなどのデータが、ブラウザ経由でウェブサイトに送信される前に、ヘルパーファイルによって処理されてしまう可能性がある。このトロイの木馬の非常に巧妙なところは、ヘルパーファイルを利用できる機能がどのブラウザにもあるのを悪用し、暗号化される前のデータを盗み出す点だ」(Sachs)
Sachsによると、このトロイの木馬は、オンライン口座用のパスワードなどの情報を入手すると、あるインターネットサーバでホストされているプログラムを用いて盗んだデータを暗号化し、南米にいると見られる攻撃者にそのデータを送信するという。
セキュリティ専門家らは、攻撃者によって悪質なプログラムをインストールされるおそれのあるInternet Explorerの脆弱性を一般に対して警告しており、最近ではこの脆弱性の存在を特に強調していた。Microsoftはまだこの脆弱性を修正していない。
ごく最近では、この脆弱性を悪用して、一部のウェブサイトをウイルスの感染源に変えてしまう攻撃が発生したが、悪質なコードの出所であるロシアのサーバがインターネットエンジニアらの手で閉鎖されたことで、ひとまず危険の芽は摘まれた。攻撃者が侵入し細工を施した各ウェブサイトは、現在もウェブユーザーをロシアのサーバにリダイレクトして、利用するパソコンをウイルスに感染させようとするが、このロシアのサーバにはもう接続できなくなっている。
今回見つかったトロイの木馬は、既知の脆弱性を利用してWindowsコンピュータにインストールされる。しかしヘルパーファイルのハッキングは、欠陥ではなく、主要ブラウザのほとんどで利用できる機能を利用したものだ、とSachsは述べている。
「時には、機能と欠陥があまり区別できない場合もある」(Sachs)
題名には必ず「阿修羅さんへ」と記述してください。