W32.Gammima.AG は、MMORPG(多人数同時参加型オンライン RPG)を標的にすることで特に知られている Infostealer の一種ですが、今度は Facebook 上のゲームも狙い始めています。このマルウェアが Facebook アプリケーションを狙うことが確認されたのは、これが初めてのことです。
問題のマルウェアは単に Facebook ユーザーを狙うだけではありません。もっぱら、Perfect Poker アプリケーションを使うユーザーからログイン情報を引き出そうとしています。Perfect Poker は、他の Facebook ユーザーとオンラインでポーカーを楽しめるアプリケーションで、これが W32.Gammima.AG の狙う標的リストに加わったのは、2010 年 12 月頃のようです。
W32.Gammima.AG の他の亜種も、アカウントからログイン情報を集め、オンラインコインを盗み出して儲けようと試みますが、Perfect Poker を標的にするこの亜種も目的は同じです。攻撃者は、侵入したアカウントを利用し、自身がゲームサイトに持っている所定のアカウントにチップを移し変えます(わざと勝負に負けて他のプレイヤーにチップを差し出すという形を取ります)。攻撃者がチップを転送できるのは、このアプリケーションのサイトだけに限りません。このチップは、フォーラムやオークションサイト、あるいはオンラインポーカーチップを専門に扱うサードパーティのオンラインショップでも簡単に売買できるからです。Perfect Poker の開発者はチップの売買を認めておらず、ユーザーには他人にチップを転送しないよう呼びかけています。
ログイン情報を盗み出そうとするマルウェアは目新しくありませんが、ソーシャルネットワークでオンラインの資産が狙われていることには注目すべきでしょう。場合によっては、ここから新しいトレンドが生まれるかもしれません。いつものことですが、こうした手口の被害者にならないように、ウイルス定義を最新の状態に保つようにしてください。
この解析に協力してくれた林薫氏と末長政樹氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。