写真提供:マイナビニュース

写真拡大

マカフィーは12月14日、同社のセキュリティブログで、ボットネットが「顧客至上主義へと変化している」と現況を説明した。

これまでボットネットの利用目的は、システムのリモートコントロール、サービスの中断/DoS攻撃、個人情報(ID/個人のクレジット情報/銀行情報)の窃取といったシステムへの侵入やデータの取得に重点が置かれていた。

しかし現在、ボットネットは、サービス購入者が製品やサービスを要求する顧客中心主義的な業界へと進化を遂げたという。ボットマスターは、サービスの加入者からの機密情報のリクエストを受け、保護されている機密情報の閲覧などを加入者に提供している。

実際に提供しているサービスとしては、「企業システムを標的・アクセス可能にするプロビジョニング」「匿名の通信、ルーティング、パブリッシング」「加入者のネットワークや登録コンピュータのアクセス管理」「支払いサービス」「ダークウェブの製品やサービス向けのマーケット」などが挙げられている。

ボットマスターの提供するサービスには複数の種類があり、同社は例をいくつか紹介している。

・個人情報泥棒タイプ

ほとんどの場合、スパムやフィッシング行為経由で消費者を標的にする。認証情報などからIDや個人のクレジットカード、銀行口座、金融取引情報を盗み出す。

・企業情報泥棒タイプ

企業の従業員や役員を標的とし、ソーシャルエンジニアリング的な手法を使ったフィッシングを行う。人事部門をターゲットに従業員情報や認証情報を盗み出し、金銭的な不正行為や窃盗を手助けする。

・マーケット情報泥棒タイプ

インサイダー取引に利用可能な保護された極秘のマーケット情報の窃盗を促す。この手法は、ソーシャルメディア経由のリクエストや招待などのビジネスネットワーキングサービスを経由して拡散する。一般的に上場企業の役員、弁護士、監査人、財務サービス機関の従業員、および関係するメディアサービスを標的としている。

これらの犯罪のタイプを定義するには、使用するツール名だけでなく行為内容のエビデンス(証拠)が必要となる。そうした証拠は基本的に、盗み出した情報が保存されていてボットネットのサービス購入者がアクセスできる管理サーバや、不正行為を行った被害者の経理用(取引用)のユーザーアカウント、悪用の履歴が確認できる被害者のコンピュータ内の痕跡などで集める。

例えば、個人情報泥棒タイプは、マルウェアをブラウザの中に埋め込み、被害者が銀行との金銭取引や金融取引に使用している認証情報を収集する。Dyreなど最新タイプのマルウェアはリモートデスクトップの「遠隔操作」などの追加機能を利用しており、被害者が銀行サイトへのログイン時に使用している感染したコンピュータを運用者やサービス購入者が乗っ取ることができる。最新の情報取得タイプのものは、スクリーンショットや他の技術を使用して二要素認証を突破するツールを埋め込むこともある。

また、企業情報泥棒タイプは、企業ネットワークへのバックドア・アクセスを提供する。マルウェアは自動的に、セキュリティの弱いコンピュータ、ユーザーの認証情報とアクセス許可に関するシステム情報、および別のメモ情報などによりアクセス可能な企業ネットワーク情報を収集する。

次に、ボットマスターは情報をカタログ化し、セキュリティの弱い企業コンピュータやネットワークについて追加調査を実行する。その後、追加の遠隔監視ツールをインストールして企業や組織に対して複数のアクセスを作成、企業ネットワーク内のあるコンピュータにアクセスできたという事実を希望する、サービス購入者に販売する。その後、サービス購入者はボットマスターに新たな行為を指示する、またはサービス購入者自身がアクセス手段を利用して目的の行為を行う。