Symantec Security Response Weblog

Management Information Systems: Tools for the Malware Trade」より
July 31,2007 Posted by Hon Lau

 (合法的な)ビジネスの世界では,事業を進める上で重要な判断を下す人々が複数の主要分野の業績を一目で把握するために,管理情報システム(MIS)を利用する。MISは通常,複数の表や報告書から取引データを取得して集計する。高度な分析や詳細な調査も行える。マネージャにとっては,こうした情報を手元に置くことで事業の将来に影響する大きな意思決定が可能となるため,ビジネス分野においてMISのメリットは無視できない。

 一方,マルウエア犯罪の世界に目を向けると,合法的ビジネスの世界とますます似てきたことが分かる。オンライン犯罪者の組織化が進むにつれ,オンライン犯罪で一般的な業務と同様のツールや手口を使う例が増えている。オンライン犯罪で手に入る金額を見ると,一種のゴールド・ラッシュ状態になってしまった。そして,これまでのゴールド・ラッシュと同じく,自分で金を掘る必要などないのだ。店を構えて,金を掘りたがる連中に道具を売ればよい。

 オンライン犯罪者にツールを提供するという行為によって,コンピュータ犯罪の状況におかしな「ねじれ」が生じている。この種のツールの作者はマルウエアを作っていないので,「違法なことは何もしていない」と主張できる(「俺は銃を作っているだけで,引き金は引いちゃいない」というわけだ)。

 例えばMPackは,“ツール・ベンダー”が開発した最新マルウエア情報システムの一つであり,実際に人気があった。MPackのMISコンポーネントは極めて分かりやすい。感染したパソコンの台数や設置されている国をまとめて見ることができるほか,誘導用URLの詳細なリストも確認できた。

 最近では,Advanced Traffic Direct System(TDS)と呼ばれるツールもある。Advanced TDSはMPackと瓜二つに見えるが,ユーザー・インタフェース(UI)が洗練され,MPackより多くの情報を提供してくれる。面白いことに,MPackとAdvanced TDS,そして同種の攻撃ツールであるWebAttackerは,いずれもロシア生まれらしい。


[画像のクリックで拡大表示]

 Advanced TDSを操作すると,ホスティングされた攻撃コードに対するアクセス元の国と誘導元のURLなどのスキームを一覧することができる。UI上でURLをクリックすると,集計データを詳しく調べられる。このツールを使えば,新たな(儲かる)スキームの監視も容易になるだろう。典型的なAdvanced TDSの使い方は,MPackと変わらない。

  • 新たな攻撃コードをサーバーにホスティングする
  • 合法的なWebサイトをハッキングし,攻撃コードのURLを指すIFRAMEを仕込む
  • Advanced TDSにそのURLを登録する
  • 何も知らない獲物がアクセスするのを待つ

 このように,オンライン犯罪者は手口の改善と充実を続けている。MIS的なツールが供給されるということは,もはやオンライン犯罪者をアマチュアの集まりとしては扱えないことを意味する。

 この件について,貴重な情報を提供してくれたMarco Cazzaniga氏に感謝する。


Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Management Information Systems: Tools for the Malware Tradeでお読みいただけます。