ここ数年マルウェアは、さまざまな手段を使ってセキュリティ製品による検出をすり抜けようとしています。現在活動しているマルウェアの多くは、セキュリティ製品に関連するプロセスやサービスを終了させたり、ファイルやレジストリキーを削除したりする機能を備えています。今回確認された手法は単純ながら興味深いもので、セキュリティ製品のインストールを回避することを狙っています。
日本のオンラインバンクやクレジットカード会社を狙うようにカスタマイズされた、Trojan.Snifula の一連の亜種を使う詐欺グループは、ある日本製セキュリティ製品による検出を回避する方法を模索しています。この亜種で使われている最新の設定ファイルに含まれる JavaScript は、ブラウザがコンテンツをロードする際に、特定の Web ページ上に特定の画像ファイルが表示されないよう試みます。この画像ファイルは、ある大手銀行のトップページに表示されるバナーで、オンライン取引を安全に実行するために日本製のセキュリティ製品 PhishWall を使用するよう推奨するものです。
図 1. バナーの GIF 画像ファイル
以前のブログで説明したように、このサイバー犯罪グループは日本の金融機関を標的として今年になってから徐々に狙いを広げており、大手銀行だけでなく小規模な地方金融機関も狙っています。日本でさらに成果を上げるために、詐欺の可能性がある場合にユーザーに警告が表示されるのを妨げる方法を熱心に研究しているようです。Web サイトでバナーが表示されないようにする試みは、単なる手始めに過ぎないかもしれません。今後セキュリティ製品を実際に無効化するよう進化する可能性もありますが、これは時間が経ってみなければわかりません。
サイバー犯罪者がセキュリティ製品を警戒するのは、目新しいことではありません。Trojan.KillAV など、セキュリティ製品を終了または削除することを目的に設計された脅威は、10 年以上も前から存在しています。今回の脅威がどのように展開していくかは興味深いところですが、オンラインバンキングの利用者、金融機関、セキュリティベンダーは、攻撃の進化を警告するものとして捉えるべきでしょう。Trojan.Snifula はまだしばらくの間は活動を続けると思われるので、関係者は新しい攻撃への対策を準備しておく必要があります。
保護対策 シマンテックセキュリティレスポンスは、今後も Snifula を注意深く監視して、適切な保護対策を提供します。また、Snifula の新しい亜種が確認された場合は、保護対策の更新を続けます。感染を防ぐために、ウイルス対策と侵入防止システムの検出定義は常に最新の状態に保ち、怪しい添付ファイルやリンクを開かないように注意してください。
Snifula に対するシマンテックの最新の検出定義は次のとおりです。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。