Protecting the Data that Drives Business

Imperiaが「ボーイ・イン・ザ・ブラウザ」と呼ぶ攻撃が再び流行しつつあることを警告している。Imperiaは、このトロイの木馬の一種であり、マン・イン・ザ・ブラウザ (Man-in-the-Browser; MitB)攻撃ほどは複雑・高度化していないものの同じようなことを目的としており、また同レベルに検出が難しく攻撃効率もよいこの方法をボーイ・イン・ザ・ブラウザ (Boy-in-the-Browser; BitB)攻撃と呼んでいる。MitBほどは複雑化していないというところから、Man(大人)をBoy(少年)に置き換えた名前がつけられている。

MitBは攻撃対象となるアプリケーションの挙動を監視し、その通信内容を判断して必要なときにデータを盗んだり攻撃者のサーバに送信するといった処理を行う。Imperiaの説明によればBitBはMitBとは異なり、感染した最初の一回のみ、ホスト名とIPアドレスをマッピングするファイルを不正に書き換える。この書き換えで特定のサイト(銀行サイト、世界中にあるGoogleのローカルサイトなど)へのアクセスは、攻撃者の制御下にあるサーバへのアクセスに置き換えられることになる。感染者はブラウザのアドレスバーを見ても、ホスト名とIPアドレスのマッピングファイルが書き換えられているため、不正なサイトにアクセスしていることに気がつくことができない。

BitBはMitBで要求されるホックコード、デバイスドライバ、オンライントラフィック監視といったコードのプログラミングが不要であるため簡単に作成できる。しかも変更も容易。さらに最初の一回だけ動作してすぐに消えるため、アンチウィルスでの検出が難しい。アンチウィルスソフトが検出できるようになった段階では、すでにそのファイルはPCから削除され存在していないからだ。逆に、BitBはシンプルである反面制限もある。まず、最初のアクセスが非SSLである必要がある。またホスト名とIPアドレスのマッピングを変更して特定のサーバへ飛ばしているだけであるため、さまざまな冗長性を持って動作するMitBと比べて動作できなくなるケースが多い。