【コラム】
ITセキュリティのアライ出し
28 マルウェア作成キットの歴史~過去から現在へ(下) - Pinchが作った量産体制
マルウェア作成キット"Pinch"
ロシアのカスペルスキーのblogエントリによると、昨年12月19日、ロシアの連邦保安局のトップであるNikolay Patrushev氏が、当年中のサイバー犯罪の取り締まり状況を発表したそうである。そして、この発表には「Pinch」と呼ばれるトロイの木馬を開発に関わっていたとみられる二人組を摘発したことが含まれているのだという。この二人組は、まさにマルウェア開発を悪の産業として成立せしめたといっていいだろう。
Pinchは元来、マルウェア作成キットである。また、このマルウェア作成キットを使用して作成されたマルウェア自体も"Pinch"という名称が与えられていることもある。本稿で"Pinch"と呼ぶ場合、オリジナルの意味を指していることに注意されたい。
Pinchの詳細な解説を行っているのは、スペインのウイルス対策ソフト会社であるPanda Securityの研究機関"PandaLabs"のブログエントリである。記述は2007年7月となっている。ちなみにフィンランドF-Secureはこれより早く5月のエントリで言及しているが、マルウェアとしてのPinchにのみ主眼を置いている。
話を戻そう。PandaLabsのブログエントリによると、Pinchによって作成できるマルウェアは、およそ以下のような機能をもつという。
- メーラ、メッセンジャー、FTPクライアント等で使用されているパスワードの窃取
- 特定のブラウザのオートコンプリート機能を使用して入力されたID/パスワードの窃取
- パーソナルファイアウォール設定の変更
- Internet Explorerを通じてフォームに入力したデータの窃取
- キーロガー
- 迷惑メール用Proxy
- 特定サイトからのファイルのダウンロードと実行
- 自動自己更新
- バックドア
- ウイルス対策ソフトの停止
- IRCを使用したボットネットの作成
- Packerならびに暗号を使用した難読化
このように、非常に多機能なマルウェアを作成することができるという。他方で、多くの機能をもつマルウェアはこれまでも多く発見されてきているため、これら機能は注目に値しないとも考えられる。そこで、実際にPinchを調査すると、わが国での使用がとみに認められているBecky!のパスワードなどを窃取するよう設定できるチェックボックスが存在していることがわかる。
|
|
Pinchの動作画面 |
マルウェア作成が一大産業に
Pinchにはさらにもう一点、言及しておくべき特徴がある。それは「窃取したデータ閲覧用GUI」の存在である。"Parser"と呼ばれるツールは、Pinchで作成したマルウェアで盗み出したデータ閲覧用GUIである。感染PCから窃取したデータには、たとえそれが誰かの手に渡ったとしても、その実態が何であるかを特定することが困難となるよう難読化が施される。これを解除し、かつ、グラフィカルな表示を行うことのできる専用のインタフェースである。また、Parserからは窃取したデータの検索やエクスポートも行うことができる。本稿の主題であるマルウェア開発キットとはやや離れるが、このような「データの窃取」という目的に限定したツールが存在することは、特筆に価するであろう。
|
|
Pinchで作成したマルウェアで盗み出したデータ閲覧用GUI(出典: PandaLabs Blog) |
このように、マルウェア開発を悪の産業として成立せしめるに必要な基盤技術として、Pinchは十分にその役目を果たしていった。先のカスペルスキーのblogエントリによれば、ロシアのハッカーコミュニティの掲示板はPinchを使った「お客様専用のマルウェア」と「テクニカルサポート」を提供するサービスの広告が氾濫し、そして事実、Pinchの亜種は増え続けたのだという。そして現在、同社のパターンファイルには4,000種以上のPinchの亜種が登録されているという。
おわりに
クルニコワ・ウイルス以後、マルウェア開発キットは「スクリプトキディの使うおもちゃ」と非難され、そのまま消え去ってゆくかにみえた。しかし、実態はマルウェアの進化と共に粛々と犯罪の道具としての実力を高めてきているようにみえる。
また、もうひとつ重要なことに気づかされる。それは、マルウェア生産/運用の分業体制である。Pinchによるマルウェア生産体制では、その使用者、作成者が異なっている可能性が高い。また憶測も含むが、作成者は、誰かの作ったマルウェア作成キットを使っている可能性があり、その基盤技術の提供者もいるということが想定される。
最後に、先のBlogエントリの締めくくりにある一文を抄訳として紹介したい。
残念なことに、この検挙が即、Pinchの亜種が消え去ることにはならないだろう。なぜならば、Pinchのソースコードはすでに広くインターネットを通じて広まっており、そして、まだ検挙されていないウイルス作成者による「Pinchのリメイク」が生み出す亜種に、必ず私たちは遭遇することだろう。
新着記事
| 理研、脳・脊髄形成に必要な神経板湾曲の仕組みを解明 [20:16 5/25] |
| 京大、「慢性閉塞性肺疾患」患者の労作時呼吸困難は鍼治療が有効と実証 [20:08 5/25] |
| 120Hz SHVカメラ用イメージセンサーを使った撮像装置 - SHVフルスペック化へ [18:10 5/25] |
| 京大、視覚による物体認知は前頭前野からのトップダウン信号が重要と確認 [17:45 5/25] |
| 製品数の拡大だけでなくBCPの展開なども含めた総合力で事業の強化を図るTI [17:25 5/25] |
特設サイトの情報
求人情報
人気記事
一覧イチオシ記事
新着記事
|
【連載】これだけは要チェック! TOEIC(R)単語帳 第108回 今回のお題は…「issue」 [20:00 5/27] キャリア |
|
TVアニメ『ペルソナ4』、新規カットを加えた再編集版を劇場でイベント上映 [20:00 5/27] ホビー |
|
[9nine]制服姿見納め? セーラー服で登場も川島海荷「4人はコスプレ」 [19:15 5/27] エンタメ |
|
「NO.6」4巻は書き下ろしドラマCD付、木乃のサイン会も [18:49 5/27] ホビー |
|
[今週の新刊]マンガ大賞3回ノミネート「アイアムアヒーロー」 カープ愛「球場ラヴァーズ」も [18:33 5/27] ホビー |
特別企画
転職ノウハウ
4つの診断で、自分の適性を見つめなおそう!
働くこと・挑戦し続けることへの思いを綴ったインタビュー
あなたにピッタリのアドバイスを読むことができます。
転職に必要な情報が収集できます
企業からアプローチのメッセージが届きます。
サービス一覧
