リモート犯行予告マルウェア「SYSIE.A」を確認、トレンドマイクロが解析

  •  トレンドマイクロ株式会社は10日、他人になりすまして犯行予告の書き込みなどが行われたとされる複数の事件において、その遠隔操作に使われていた不正プログラムを解析したと発表した。新種のバックドア型不正プログラムが確認されたとしており、同社ではこれを「BKDR_SYSIE.A」として検出している。

 SYSIE.AはPCへ感染した後、環境設定ファイルで指定された電子掲示板(BBS)のスレッドにアクセスし、そこで攻撃者からの指令の受信や情報の送信を行う。バックドア活動で実行されるコマンドは以下の通り。

スクリーンショットの取得
ファイルのダウンロード
ファイルのアップロード
ファイルおよびフォルダの列挙
ファイルの実行
デフォルトのインターネットブラウザーの取得
隠しブラウザーで特定のURLを操作および開く
ユーザーのキー入力操作情報およびマウスの操作の記録
自身のアップデート
環境設定ファイルの更新
利用した掲示板のスレッドの更新
コンピューターを一定の時間スリープする
コンピューターから自身を削除する

 トレンドマイクロによると、SYSIE.Aは、他の不正プログラムに作成されるか、悪意あるウェブサイトからユーザーが誤ってダウンロードすることでPCに侵入する。
 

 SYSIE.Aは、感染したPCを攻撃者がインターネット経由で遠隔操作することを可能にする不正プログラムだ。このようなバックドア型不正プログラムはこれまでも無数に登場してきたが、今回は新聞やテレビなどで連日報道されているように、無差別殺人や爆破予告などの書き込みをしたとの容疑で、全く身に覚えのない人が逮捕・起訴されてしまったことで大きな注目を集めた。その後、不正プログラムの存在が判明して釈放されたというが、ユーザーの気付かぬところで自分になりすました犯罪が行われ、ある日突然、その罪が自分に降りかかってくる恐ろしさを示す結果になった。

 ただし注意しなければならないのは、バックドア型不正プログラムの活動は、何も犯行予告の書き込みに限らないことだ。PCを乗っ取ることで、そのユーザーになりすまして他の犯罪活動を行ったり、攻撃に悪用される場合もあるだろう。あるいは、長期間にわたって潜伏し、ユーザーのセンシティブな情報を窃取することも考えられる。

 トレンドマイクロでは、こうした不正プログラムの感染を防止するためにも、セキュリティソフトをインストールして最新の状態に保つこと、OSやアプリケーションの自動アップデート機能を有効にして常に最新の修正パッチを適用すること、出所不明の無料ソフトをインストールしないこと、見知らぬ送信元からのメールに記載されているようなURLを不用意にクリックしないことといった、インターネットを利用するにあたってのセキュリティの基本的な心得を改めて呼び掛けている。

 このほか今回の事件を受けて、ウェブフィルタリングソフトを開発・提供しているアルプスシステムインテグレーション株式会社(ALSI)が、防止手段としてウェブフィルタリングの有効性をアピールしている。不正プログラムを感染させるような不正サイトへのアクセスを未然にブロックできるほか、BBSへの書き込みを規制するよう運用すれば、今回のようななりすましによる書き込みも防止できると説明している。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121011_565369.html