Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名

Created: 11 Oct 2012 09:23:03 GMT • Translations available: English
Joji Hamada's picture
+1 1 Vote
Login to vote

先週末、犯行予告を掲示板に投稿したり電子メールで送信したとして過去数カ月で 3 人が逮捕されていたというニュースが、日本中を賑わせました。さらに、報道によると、この犯行予告に使われたとされるコンピュータはいずれも特定のマルウェアに感染していたことが判明したため、容疑者はその後全員が釈放されたというのです。今回のマルウェアの中には、大量殺人を行うという予告を Web サイトに投稿したケース、爆破予告をインターネット上のフォーラムに書き込んだケース、爆弾を仕掛けるという脅迫メールを送信したケースなどがありました。犯行予告とマルウェアの関係については現在、警察当局が捜査に当たっています。

シマンテックでは、平素より企業や団体、個人のお客様より検体をご提供いただくとともに、インターネット上等で情報収集することで脅威を特定し、それを解析しています。シマンテックが入手した検体の解析で、このマルウェアは侵入先のコンピュータを遠隔操作する機能を持っていることが確認されました。それ自体はマルウェアの世界で目新しいものではありませんが、特定された各種の機能から、作成者はマルウェアに命令して上記のような犯行予告を作成できることがわかりました。また、作成者との暗号化通信の処理に使われる文字列が日本語で書かれており、コードは日本語の Web サイトから取られていることも判明しました。以上のことから、作成者は日本語に精通した人物である可能性が高いとシマンテックは考えています。

図 1. コード中に見つかった日本語

シマンテックはこれまでに、このマルウェアの 2 つのバージョンを入手しており、それぞれのバージョン番号は以下のとおりです。

図 2. これまでに確認された亜種のバージョン番号

番号が連続していないため、まだ確認されていない別のバージョンが存在する可能性もあります。

シマンテック製品をお使いのお客様は、Insight と呼ばれるレピュテーション技術によってこのマルウェアから保護されていますのでご安心ください。シマンテックはこのファイルをプロアクティブに Suspicious.Insight として検出するほか、Backdoor.Rabasheeta という検出定義も提供していますので、シマンテック製品をお使いであれば、この脅威を検出することができます。その他の類似の亜種に対しても、この検出定義により保護されます。

現時点で感染はごく限定的であり、大部分のユーザーはこのマルウェアに影響されることはないはずですが、今回の脅威に関連して直接的、間接的に確認されているのは iesys.exe というファイル名だけであり、他の名前のファイルが存在する可能性も否定できません。お使いのコンピュータがこの脅威に感染しているかどうかを確認したい場合は、iesys.exe というファイルを検索するとともに、最新の定義ファイルをダウンロードしてからコンピュータのスキャンを実行してください。

この種の脅威から身を守るためにも、不明なソースからソフトウェアをダウンロードする際には十分な注意が必要です。また、オペレーティングシステムと、コンピュータにインストールされている各ソフトウェアが最新版かどうかを確認しておくこともお勧めします。最後に、これがいちばん肝心なことですが、電子メール中の疑わしいリンクや添付ファイル、Web サイト上の不審なリンクはクリックしないようにしてください。

このマルウェアに関する詳しい技術情報については、こちらの記事を参照してください。

2012 年 10 月 19 日更新

シマンテックは、この脅威の 3 つ目の亜種を入手しました。今回の亜種のバージョン番号は 2.0 ですが、この亜種の入手以前からシマンテック製品ではBackdoor.Rabasheeta として検出されていますのでご安心ください。解析したところ、この亜種は実質的にバージョン 2.23 とほぼ同一であり、両者の間に注目すべき差異はありません。現在までにシマンテックが入手した 3 つのファイルはすべて、シマンテックの Insight テクノロジにより WS.Reputation.1 または Suspicious.Insight として、感染前に未然に検出されることを確認しています(お使いの製品によって検出名が異なります)。

報道によると、マルウェアのダウンロードサイトにアクセスしたユーザーの数は 20 人を超えると言われています。感染数は非常に限られていると思われますが、シマンテックでは実際の感染をまだ確認していません。感染の可能性を心配される方は、最新の更新をダウンロードしたうえでコンピュータをスキャンしてください。また、シマンテック製品をお使いでない方も、無料のオンラインスキャナー(英語)をご利用いただくことができます。

繰り返しになりますが、この種の脅威から身を守るためにも、不明なソースからソフトウェアをダウンロードする際には十分な注意が必要です。また、オペレーティングシステムと、コ ンピュータにインストールされている各ソフトウェアが最新版かどうかを確認しておくこともお勧めします。最後に、これがいちばん肝心なことですが、電子 メール中の疑わしいリンクや添付ファイル、Web サイト上の不審なリンクはクリックしないようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。