最近、店頭レジ端末(POS)を狙う Trojan.Backoff という脅威が、米国で 1,000 社以上の企業に影響を与えていることが確認されました。Backoff は、感染先の端末からクレジットカードやデビットカードの情報を盗み出す機能を備えています。米国国土安全保障省は、Backoff がもたらす脅威を受けて勧告を発行し、規模の大小にかかわらずすべての企業に対して、使用している機器が POS マルウェアに感染していないかどうか確認するよう推奨しています。
これに先立って US-CERT が7 月 31 日に公開した警告によると、POS システムのプロバイダやベンダー 7 社は、複数の顧客がマルウェアの影響を受けていることを確認しています。国土安全保障省は、感染の発生場所の詳しい情報を基に、米国で 1,000 社を超えるさまざまな規模の民間企業が影響を受けたと推定しています。少なくとも、最近報告された小売業での 2 件のセキュリティ侵害は、Backoff の感染によって引き起こされたと考えられます。
国土安全保障省によると、このマルウェアが最初に検出されたのは 2013 年 10 月のことですが、ウイルス対策ソフトウェアでは 2014 年 8 月まで Backoff としては識別されていませんでした。シマンテックは、8 月 1 日に Backoff 専用の検出定義を作成しましたが、定義作成前の 2013 年 10 月から 2014 年 7 月まで、このマルウェアは Backoff として検出されず別のシグネチャによって検出されていました。
シマンテックの遠隔測定によると、感染のほとんどは米国とカナダで発生しており、ほかには英国とポーランドで感染がわずかに確認されています。
感染の兆候
Backoff には、マルウェアのインストールパス、レジストリエントリ、レジストリ値、通信先のコマンド & コントロール(C&C)サーバーが異なる 8 つの亜種が確認されています。まだ調査が進行中のため、攻撃に使われている C&C サーバーや URL の詳細は公表できません。
シマンテックは、次の MD5 ハッシュ値を持つ Backoff のサンプルを検出しています。
- 01f0d20a1a32e535b950428f5b5d6e72
- 05f2c7675ff5cda1bee6a168bdbecac0
- 0607ce9793eea0a42819957528d92b02
- 0ca02ff545ecc2ca90f21d5475313c66
- 12c9c0bc18fdf98189457a9d112eebfc
- 17e1173f6fc7e920405f8dbde8c9ecac
- 30c5592a133137a84f61898993e513db
- 337058dca8e6cbcb0bc02a85c823a003
- 38e8ed887e725339615b28e60f3271e4
- 3ff0f444ef4196f2a47a16eeec506e93
- 4956cf9ddd905ac3258f9605cf85332b
- 5cdc9d5998635e2b91c0324465c6018f
- 684e03daaffa02ffecd6c7747ffa030e
- 6a0e49c5e332df3af78823ca4a655ae8
- 821ac2580843cb0c0f4baff57db8962e
- 842e903b955e134ae281d09a467e420a
- 874cd0b7b22ae1521fd0a7d405d6fa12
- 8a019351b0b145ee3abe097922f0d4f6
- 97fa64dfaa27d4b236e4a76417ab51c1
- aa68ecf6f097ffb01c981f09a21aef32
- b08d4847c370f79af006d113b3d8f6cf
- b1661862db623e05a2694c483dce6e91
- bbe534abcc0a907f3c18cfe207a5dfca
- c0d0b7ffaec38de642bf6ff6971f4f9e
- c61442478ca3686cfe6bbf9289425bca
- cc640ad87befba89b440edca9ae5d235
- d0c74483f20c608a0a89c5ba05c2197f
- d0f3bf7abbe65b91434905b6955203fe
- d1d544dbf6b3867d758a5e7e7c3554bf
- ea0c354f61ba0d88a422721caefad394
- f5b4786c28ccf43e569cb21a6122a97e
- fc041bda43a3067a0836dca2e6093c25
- ffe53fb9280bf3a8ceb366997488486e
Trojan.Backoff は、実行されると次のいずれかのレジストリエントリを作成して、Windows の起動時に自身が実行されるようにします。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows NT Service"=”%UserProfile%\Application Data\AdobeFlashPlayer\mswinhost.exe”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows NT Service”=” “%UserProfile%\Application Data \AdobeFlashPlayer\mswinsvc.exe”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows NT Service”= “%UserProfile%\Application Data\ OracleJava\javaw.exe”
- HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\"Windows NT Service”= “%UserProfile%\Application Data\ OracleJava\javaw.exe”
また、次のレジストリエントリを作成する可能性があります。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\"identifier"=”[ランダムな 7 文字]”
この「ランダムな文字」は、コンピュータ起動後の経過時間(ミリ秒)を乱数の種として生成されます。生成される文字列の例は次のとおりです。
さらに、自身のコピーを次のいずれかの場所に作成します。
- %UserProfile%\Application Data\AdobeFlashPlayer\mswinsvc.exe
- %UserProfile%\Application Data\OracleJava\javaw.exe
- C:\Documents and Settings\All Users\Application Data\OracleJava\javaw.exe
侵入先のコンピュータには通常、1 つのファイルがインストールされます。ファイル名の形式は次のとおりです。
“C:\Documents and Settings\All Users\Application Data\[ランダムな 12 文字]”
ここでもレジストリ値と同様に、コンピュータ起動後の経過時間(ミリ秒)を乱数の種としてランダムな文字が生成されます。
さらに別のファイルがインストールされる場合もあります。現在までに次のファイル名が確認されています。
- %Temp%\TsGSQyhhweBf.exe
- %UserProfile%\Application Data\AdobeFlashPlayer\Log.txt
- %UserProfile%\Application Data\AdobeFlashPlayer\Log.txt
- %UserProfile%\Application Data\AdobeFlashPlayer\Log.txt.bku
- %UserProfile%\Application Data\AdobeFlashPlayer\Log.txt.bku
追加情報
POS マルウェアによる攻撃については、「POS マルウェアと攻撃手口の解明」を参照してください。
シマンテックの保護対策
シマンテックは、今回の攻撃で使われているマルウェアを検出するために、次の検出定義を提供しています。
ウイルス対策
Trojan.Backoff
Trojan.Backoff!gm
侵入防止システム
System Infected: Trojan.Backoff Activity
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。