2011 年、ハックティビズムの大義を標榜するアノニマスのメンバー数十人が、分散サービス拒否攻撃(DDoS)に関与したとして逮捕されました。このときの DDoS 攻撃では、アノニマスに共鳴したサポーターたちが、Low Orbit Ion Cannon というサービス拒否(DoS)ツールを使って自分たちのコンピュータを積極的にボットネットに参加させています。その後、今週になってまたアノニマスのメンバーが逮捕されていますが、アノニマスのサポーターが DoS 攻撃への賛同という名目に欺かれて Zeus ボットネットクライアントをインストールしてしまうという経緯を取り上げておこうと思います。Zeus クライアントは確かに DoS 攻撃を実行しますが、それで終わりではなく、ユーザーのオンラインバンキング情報、Web メールの個人情報、Cookie を盗んでもいるのです。
アノニマスのサポーターが欺かれ始めたのは、FBI による Megaupload 検挙と同じ 2012 年 1 月 20 日のことでした。アノニマスのメンバーは、人気サイト PasteBin にガイドを投稿し、それを Slowloris という DoS ツールのダウンロードと運用に使っていますが、攻撃者はこの投稿に侵入して手を加えました。変更後のバージョンで、攻撃者は同じ文面のまま、ダウンロードリンクだけを、トロイの木馬が仕込まれたバージョンの Slowloris ツールに書き換えたのです。
図 1. a)2011 年 5 月にアノニマスの活動で使われた正規の Slowloris に関する投稿と b)アノニマスのメンバーを欺くためにトロイの木馬が仕込まれた PasteBin の投稿
同じ日の遅く、アノニマスによる別の DoS ガイドが PasteBin に投稿され、これには各種の DoS ツールへのリンクが指定されていました。Slowloris もこのツールのリストに含まれていましたが、これは書き換えられたガイドからコピーされた、トロイの木馬が仕込まれているバージョンでした。
図 2. トロイの木馬が仕込まれた Slowloris へのリンクがコピーされた、アノニマスによる DoS ガイド。Slowloris のリンクは、この日すでに投稿されていた偽のガイドからコピーされたもの。
PasteBin に投稿されたアノニマスの DoS ツールはその活動の中で人気を博し、26,000 以上のビューを集めたほか、400 件ものツイートでこの投稿が引用されました。関連するハックティビズムの大義が取り上げられたツイートのタイムラインを以下に示します。
図 3. Megaupload の検挙開始からの攻撃のタイムライン。トロイの木馬が仕込まれた Slowloris へのリンクを含む PasteBin は、現在に至るまで依然として新しいツイートで紹介され続けている。
サポーターは今でも、PasteBin 上のこのガイドを「Tools of the DDos trade(DDoS ご用達ツール)」や「Idiot's Guide to Be Anonymous(アノニマス簡単ガイド)」として紹介しています。
図 4. トロイの木馬が仕込まれた Slowloris を含む PasteBin への投稿をアノニマスの DoS ガイドとして紹介しているツイートの、2012 年 2 月 15 日時点の検索結果
図 5. トロイの木馬が仕込まれた Slowloris のダウンロードによって、ハッカーがアノニマス集団を狙った一連の推移
トロイの木馬が仕込まれた Slowloris ツールをアノニマスのサポーターがダウンロードして実行すると、Zeus(Zbot とも呼ばれる)ボットネットクライアントがインストールされます。Zeus ボットネットクライアントがインストールされると、マルウェアドロッパーは自身を本物の Slowloris DoS ツールに置き換えて、感染を隠蔽しようとします。Zeus は高度なマルウェアプログラムなので、削除は容易ではありません。Zeus クライアントは今も、オンラインバンキングに伴う財務情報や Web メールの個人情報を記録し、ボットネットを運用している攻撃者に送信し続けています。しかも、このボットネットはアノニマスのハックティビズム活動の標的として知られる Web ページに対する DoS 攻撃にも強制的に荷担させられます。この使われ方をまとめたのが、次の図です。
図 6. インストールされた Zeus クライアントがアノニマスの Slowloris による攻撃を利用する手順。Cookie、オンラインバンキング情報、Web メールの個人情報が、感染したコンピュータからサーバーに送信される。Slowloris を実行し、アノニマスの活動の標的も攻撃するコマンドがボットネットクライアントに渡される。
コマンド & コントロール(C&C)サーバーとの通信は、HTTP POST メッセージを通じて実行されます。Cookie、オンラインバンキング情報、Web メール情報を C&C サーバーに送信する際の POST メッセージを復号した例が、次の表です。
表 1. Zeus クライアントから C&C ドメインに送信される POST データを復号したサンプル。a)サーバーに送信される Cookie データ、b)オンラインバンキングのユーザー名とパスワードを盗み出してからサーバーに送信される個人情報、c)盗まれた Web メールのアカウント情報
サポーターは、アノニマスのハックティビズム活動による DoS 攻撃に関与するという形で法律を犯すことになりますが、それと同時に自らのオンラインバンキングやメールの情報を盗み出されるリスクにさらされることになります。アノニマスのハックティビズム活動に加え、オンラインバンキング情報や個人情報を詐称する悪質なマルウェアが登場し、アノニマスのサポーターたちまで悪用されるというように、オンラインの世界は危険な展開を見せています。シマンテックは、今後の推移にも引き続き監視を続ける予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。