写真提供:マイナビニュース

写真拡大

マカフィーは12月21日、ボットネットを利用した「インサイダー取引」について、同社のセキュリティブログで解説を行った。

マカフィーは14日にも、ボットネットの進化について解説を行っているが、今回は活動モデルの具体例について取り上げている。

これによると、ボットネットは「個人情報を盗む活動」から「企業情報を盗む活動」に進化しているという。

例えば、Patco Construction社は、2009年にボットネット マルウェアによって58万8000ドル(約7221万円)が盗み出される被害にあった。また、Tennessee Electric社は、2012年に銀行口座が乗っ取られたことで、約32万8000ドル(4028万円)の被害を受けている。著名企業ではSalesforce.comが2014年、ユーザーの詳細なログイン情報を自動的に盗み取られ、二要素認証を迂回するように設定するマルウェアの標的となった。

こうしたボットネット被害の増大に対して警察当局も動きを見せている。2009年には米国の警察当局が390社への不正侵入に関わった複数の犯人を逮捕した。当時の被害金額の合計は7000万ドル(約86億円)以上に及ぶと推定されている。また、オーストラリアで多数の金融機関から膨大な金額が不正に引き出された事件は、オーストラリア連邦警察が「マルウェアの行為者はオーストラリア国内の歴史の浅い金融プラットフォームを標的にしている」という捜査結果を発表している。このマルウェアは、金融取引や認証の情報を盗難・改ざんする、またはそれらに危険を及ぼす機能が実装されていた。

企業や金融機関を狙ったボットネットサービスは、購入者が金銭的価値のある機密情報を盗みとる。これらのマルウェアは、認証情報を盗み出すことにはあまり重点を置いていないが、その代わりにマルウェアを利用すると、特定の情報ストアや情報画面にアクセスできる。これにより、時間が重要な意味を持つ情報を誰にも知られることなく、監視・コピーが可能となる。

ボットマスターは、2つの銀行と1つの取引業者のコンピューターをコントロールし、サービス購入者に対して各企業の機密情報の閲覧サービスを提供している。

マカフィーはこうした活動を「ボットネット版動画配信」のようなものと表現している。こういったボットネットの犯罪行為は、銀行や金融取引所のコンピュータに侵入するだけでなく、利益を得るために機密情報を悪用することにもつながる。

ブログでは、銀行ボットネットの種類、プラグイン、運用者やサービス購買者が利用できる機能を解説している。例えば、Zeusのマルウェアのビデオキャプチャ・プラグインは、リモートデスクトップのセッションの開始を検出すると、セッションの録画を開始する。

感染を防ぐには、エンドポイントのマルウェア検出データベースを常に最新状態にし、OSのパッチは迅速に適用する必要がある。また、サードパーティ製のすべてのソフトウェア、特にAdobe Flashは常に最新状態にする。さらに、マルウェアの能力に関する知識をつけることも重要だという。

マルウェアに感染した場合、感染したエンドポイントの特定、そのユーザーの役割と権限、被害者を背後から操っている人物の有無、および利用された内部データについて把握するためのさらなる調査が必要だと呼び掛けている。