ビジネスとしてのパスワード窃盗

オンライン金融取引が盛んに行われている現在、銀行口座などのパスワードを盗むことはサイバー犯罪者にとって極めて魅力的な行為といえます。犯罪者は世界中に存在しており、トロイの木馬のようなマルウェアを使用して、ユーザーのログイン情報を盗みます。こうして得た情報は、悪質なユーザーに転売されて、違法ビジネスに悪用されています。今回はそのパスワード窃盗マルウェアの一例として、「Silentbanker」を紹介します。

「Silentbanker」の説明に入る前に、まず「Internet Explorer(IE)」用プラグインの一種であるブラウザヘルパーオブジェクト(BHO)を説明したいと思います。ソフトウェア開発者がBHOを使うと、IEのソースコードを参照することなくIEに機能を追加することが可能になります。Webブラウザ開発者の力を借りずに機能を追加できるため、BHOは悪くないアイデアといえます。また機能を追加したい場合でなくても、BHOは役立ちます。また、ユーザー・インタフェース(UI)をカスタマイズしたり、WebブラウザでPDF文書を読んだりする拡張機能をダウンロードできるなど、BHOを活用するとよりと便利になるともいえるでしょう。

ただこの状況は、BHOの作者やBHOダウンロード用サーバー、ユーザーの使っているDNSサーバーをどの程度信頼するかによって変わります。残念ながら、BHOの中には危険なものが存在します。犯罪者たちは、有益で無害な機能をマルウェア拡散やログイン情報などの取得に使用する方法を、常に考えています。そしてSilentbankerは、BHOを装ってパスワードを盗もうとする、悪質かつ巧妙なマルウェアの一つです。

Silentbankerは、ユーザーが望まない動きをする「ヘルパー」ということができるでしょう。Silentbankerは、IEにインストールされると自動的にロードされ、IEとインターネット間の通信に割り込めるようになります。柔軟な設定が可能で、オンラインバンキングのユーザーをターゲットにすることができます。オンラインバンキングにかかわる通信を認識して監視するだけでなく、HTMLページを改変してコードを追加したり通信内容を変えたりする機能も持っています。「man-in-the-middle」という手法を使用することで、通信相手のサーバーに送る前の未暗号化データと、サーバーから受け取った後の復号済みデータを確認、改変することができます。仮にSSLで通信を暗号化したとしても、安全は確保できません。SilentbankerはIEの上位層で活動するため、SSLは対策にならないからです。

Silentbanker BHOのスクリーンショット

上記スクリーンショットは、Silentbankerの攻撃用モジュールの擬似コードです。Silentbankerはこのコードを使用し、Windowsの機能と自らの攻撃ルーチンを接続しています。そして、ホスト侵入防止システム(IPS)といったセキュリティアプリケーションを無効化してしまいます。なお、SilentbankerはWindowsの機能と攻撃ルーチンを接続する前に、「read_whole_file」を使用して、ハードディスクからWindows用ライブラリの本来のコードを読み出し、「remove_API_hooks」で自分のプロセス用メモリーにマッピングを行い、以前に確立されていた接続を無効にします。その結果、同じ手法を使うセキュリティアプリケーションが機能しなくなります。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。