寄稿: Piotr Krysiuk
6 月 5 日、Microsoft 社は金融業界および FBI との協力により、オンラインバンキングを狙う Citadel というトロイの木馬プログラムの活動を停止に追い込んだことを発表しました。この停止措置により、1,000 以上の Citadel ボットネットがオフラインになりました。
Citadel はオンラインバンキングを狙うトロイの木馬のひとつで、2011 年に登場しました。オンラインバンキングを狙う他のトロイの木馬と同様に、Citadel も、すべてが揃ったクライムウェアキットであり、ペイロードビルダー、コマンド & コントロール(C&C)サーバーのインフラストラクチャ、さまざまな銀行を標的にする設定スクリプトを攻撃者に提供します。Citadel は、金融業界を狙うトロイの木馬として大きな存在である Trojan.Zbot(Zeus)の末裔です。2011 年に Zeus のソースコードが漏えいした後で、犯罪者グループがそのコードを引き継ぎ強化する形で登場しました。
図 1. トロイの木馬 Citadel のインターフェース
先駆けとなった Zeus が広範囲に出回ったのに対し、Citadel はより「資金力のある」攻撃者を市場として対象にしています。SpyEye や、漏えいした Zeus のキットがわずか 100 ドルで取引されているのに対して、Citadel キットはロシアの地下フォーラムで通常 3,000 ドル前後で販売されています。Citadel のユーザーは、標的にしようとする銀行に合わせた Web インジェクションコードを購入するたびに、30 ~ 100 ドルを追加で支払う必要もあります。しかも、攻撃者に資金の余裕があったとしても、新規購入の場合には紹介が必要であり、厳格な審査プロセスがあります。
Citadel の感染は全世界に広がっていますが、過去 6 カ月で多数の感染が確認されているのは、オーストラリア、イタリア、米国でした。
図 2. 2013 年 1 月から 6 月までの Citadel の感染件数
シマンテックは、Citadel ボットネットの活動停止という今回の報道を歓迎します。この停止措置で Citadel の脅威を完全に排除できるわけではありませんが、現在の活動が停止することは確かであり、攻撃者に対しても、その活動がいつも監視されているという明確なメッセージになったはずです。この脅威の排除にあたって官民の協力態勢が取られたことも称賛に値します。
金融業界を狙うトロイの木馬について詳しくは、シマンテックのホワイトペーパー(英語)をお読みください。シマンテックの最新のウイルス対策と侵入防止シグネチャを使用することで、Citadel の感染を防ぐことができます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。