Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

金融機関のサーバーで検出された Trojan.Stabuniq

Created: 21 Dec 2012 10:01:25 GMT • Translations available: English
Fred Gutierrez's picture
0 0 Votes
Login to vote

寄稿: Alan Neville

シマンテックは最近、Trojan.Stabuniq と命名された脅威を検出しました。これはトロイの木馬で、銀行や信用組合などの金融機関が所有する複数のサーバーで発見されましたが、一般家庭のコンピュータや、セキュリティ企業のコンピュータ(訳注: 理由は後述)にも感染していました。
 

図 1. タイプ別の Trojan.Stabuniq の拡散状況
 

Trojan.Stabuniq に感染した、重複のない IP アドレスのうちおよそ半数は家庭用コンピュータのものです。11 パーセントはインターネットセキュリティを扱う企業のサーバーです(脅威の解析を実行しているためと考えられます)が、残りの 39 パーセントが金融機関のサーバーだったことは驚きです。感染した金融機関が侵入を受けたのは周辺部でした。というのも、トロイの木馬が発見されたのはメールサーバー、ファイアウォール、プロキシサーバー、ゲートウェイだったからです。

Trojan.Stabuniq は、スパムメールと Web 悪用ツールキットの組み合わせを利用してコンピュータに侵入します。これまで、この脅威はごく少数しか検出されず、拡散範囲も広くなかったため、作成者は特定の個人や団体だけを標的にしていると思われていました。このトロイの木馬が見つかった、重複のない IP アドレスのおおよその所在地は、米国の東半分に集中しています。
 

図 2. 重複のない IP アドレスから推定した Trojan.Stabuniq の地理的な分布
 

Trojan.Stabuniq は侵入先のコンピュータから情報を収集し、コマンド & コントロール(C&C)サーバーに送信します。詳しくは、技術的な詳細を参照してください。

Trojan.Stabuniq は従来、多数のコンピュータには感染していませんでした。米国向けにローカライズされており、およそ 40 パーセントの標的が金融機関であることから考えると、現時点でこのマルウェアの作成者はまだ情報収集の段階であると考えていいでしょう。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。