寄稿: Alan Neville
シマンテックは最近、Trojan.Stabuniq と命名された脅威を検出しました。これはトロイの木馬で、銀行や信用組合などの金融機関が所有する複数のサーバーで発見されましたが、一般家庭のコンピュータや、セキュリティ企業のコンピュータ(訳注: 理由は後述)にも感染していました。
図 1. タイプ別の Trojan.Stabuniq の拡散状況
Trojan.Stabuniq に感染した、重複のない IP アドレスのうちおよそ半数は家庭用コンピュータのものです。11 パーセントはインターネットセキュリティを扱う企業のサーバーです(脅威の解析を実行しているためと考えられます)が、残りの 39 パーセントが金融機関のサーバーだったことは驚きです。感染した金融機関が侵入を受けたのは周辺部でした。というのも、トロイの木馬が発見されたのはメールサーバー、ファイアウォール、プロキシサーバー、ゲートウェイだったからです。
Trojan.Stabuniq は、スパムメールと Web 悪用ツールキットの組み合わせを利用してコンピュータに侵入します。これまで、この脅威はごく少数しか検出されず、拡散範囲も広くなかったため、作成者は特定の個人や団体だけを標的にしていると思われていました。このトロイの木馬が見つかった、重複のない IP アドレスのおおよその所在地は、米国の東半分に集中しています。
図 2. 重複のない IP アドレスから推定した Trojan.Stabuniq の地理的な分布
Trojan.Stabuniq は侵入先のコンピュータから情報を収集し、コマンド & コントロール(C&C)サーバーに送信します。詳しくは、技術的な詳細を参照してください。
Trojan.Stabuniq は従来、多数のコンピュータには感染していませんでした。米国向けにローカライズされており、およそ 40 パーセントの標的が金融機関であることから考えると、現時点でこのマルウェアの作成者はまだ情報収集の段階であると考えていいでしょう。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。