悪名高きバンキングマルウェア「Vawtrak」の作者がスペインで逮捕される

江添 佳代子

February 6, 2017 08:30
by 江添 佳代子

2017年1月13日、悪名高きバンキング系トロイの木馬「Vawtrak」を作成した容疑で一人のロシア人が逮捕された。スペインの警察機関グアルディア・シビルの発表によれば、容疑者のLISOV(リーソヴ)、32歳はバルセロナ=エル・プラット空港から他のユーロ国へ渡航しようとしていたところを拘留された。なお、今回の逮捕は「米FBIとスペインの法執行機関の協働によって実現したもの」だとグアルディア・シビルは説明しているが、FBIは現時点でコメントを発表していない。


「Vawtrak」の作者がスペインの司法機関に逮捕された

このマルウェア「Vawtrak(「Neverquest」や「Snifula」の名でも知られている)」は2013年夏に発見されて以降、何度も進化を遂げながら感染を広げてきたトロイの木馬である。特に「Zeusのボットネットがテイクダウンされたあとに注目される脅威」として、闇市場では一躍有名となっていた。

バンキングマルウェア「Vawtrak」の脅威

2014年前半までのVawtrak(ボートラック)は、主に「日本のオンラインバンキングのユーザーを標的したマルウェア」として知られる存在だったが、2015年前半には米国やカナダの銀行を狙ったタイプのVawtrakが流行する。さらに2015年後半以降には米国、および英国やドイツ、フランスを中心とした欧州の全域、そしてそれ以外の地域でも、オンラインバンキング・オンラインゲーム・SNSなどのジャンルで感染を広げていった。

セキュリティ企業PhishLabsが報告した「2014年の最も危険な脅威」の中でも、すでにVawtrak は「Zeusのマルウェアファミリー全体(GameOver、KINS、ZeusVM、Zberpなどを含む)」に次ぐ脅威という位置づけになっていた。また、2015年4月にARBOR Networksがブログで発表した報告では、世界の被害者たち(つまり侵害されたコンピューター)の分布が地図上に示されている。これを見れば、Vawtrakがどれほど多くの国に対応しうるマルウェアなのかを確認できる。

Vawtrakの被害状況 ARBOR Networksのブログより

日本でも多くの被害が出ている ARBOR Networksのブログより

Vawtrakの詐欺の手口そのものは、「感染したユーザーの端末からクレジットカードなどの金融情報、クレデンシャル情報、その他の個人情報を盗み出し、詐欺師(マルウェアの使い手)の元へ送る」という典型的なものだ。しかしVawtrakは感染させたマシンを「さまざまなオンラインアカウントにログインする際のユーザーのクレデンシャル情報を包括的に収集するボットネット」の一部にしてしまう。

さらに「国ごとに異なった設定ファイルをダウンロードできるようになる」「マルウェアの更新の際、『Torネットワークを介して配布されたファビコン』を介してデータを送受信できるようになる」などの技術的な進化を遂げ、自身の感染力と「検出を避ける能力」とを強化させていった。

セキュリティ企業のSophosは2014年の時点で、Vawtrakが「CaaS(crimeware as a service:サービスとしてのクライムウェア→商品として扱われる犯罪用のマルウェア)の国際的なビジネスモデルの一環として用いられている」と指摘する詳細なレポートを発表していた(PDF)。そして今回バルセロナの空港で逮捕されたのは、その「世界を股に掛けたクライムウェア」の作者であり、運用にも携わってきたと疑われている人物である。

ロシアンハッカーの逮捕

このタイミングで「ロシアのハッカー」がFBIの要請により逮捕されたというニュースを聞けば、先日の大統領選を狙った一連のハッキング事件の影響があるのではないか、と考える向きもあるだろう。しかしLISOV逮捕のプレスリリースを発表したグアルディア・シビルによれば、FBIは2014年から同容疑者の捜査を開始したのち、国際指名手配を要請していたという。

LISOVが利用していたフランスとドイツのサーバーを徹底的に調査した結果、そこには金融機関の口座から盗まれた情報のデータベースが存在していた、とグアルディア・シビルは説明している。それらのサーバーの一つには、銀行、その他の金融系ウェブサイトのアカウントの「ユーザー名、パスワード、秘密の質問と回答など含む、数百万のログイン情報のファイル」が格納されていた。Vawtrakが被害者たちの口座から奪ってきた額は、およそ500万ドル(約5億7000万円)だったと、そのプレスリリースには記されている。

今後、LISOVを米国に引き渡すかどうかはスペインの高等裁判所が決定するため、現在の同容疑者はカタルーニャ州で当局の監視下に置かれている。面白いことに、グアルディア・シビルのプレスリリースのページには、逮捕されたLISOVの写真が5点も掲載されている(ただし顔にはボカシ入り)。一方のロシア大使館は、被告の逮捕と罪状に関して、より多くの情報を提供するようスペインに要請している。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

学校サイトに銃器売買の広告!? 中国ブラックハットSEO技術

August 14, 2017 08:00

by 牧野武文

安徽省合肥市の11の学校の公式サイトに、銃器売買、代理出産、替え玉受験、セックスドラッグなどの違法広告を表示させたとして、安徽省蘆江県検察院は、張家恒、陳安、潘志剛の3人を、計算機情報システム違法制御の罪で起訴をしたと検察日報が報じた。 怪しい公告はでない仕組み サイト運営者にとっては、埋め込み広告…