悪名高きバンキングマルウェア「Vawtrak」の作者がスペインで逮捕される

江添 佳代子

February 6, 2017 08:30
by 江添 佳代子

2017年1月13日、悪名高きバンキング系トロイの木馬「Vawtrak」を作成した容疑で一人のロシア人が逮捕された。スペインの警察機関グアルディア・シビルの発表によれば、容疑者のLISOV(リーソヴ)、32歳はバルセロナ=エル・プラット空港から他のユーロ国へ渡航しようとしていたところを拘留された。なお、今回の逮捕は「米FBIとスペインの法執行機関の協働によって実現したもの」だとグアルディア・シビルは説明しているが、FBIは現時点でコメントを発表していない。


「Vawtrak」の作者がスペインの司法機関に逮捕された

このマルウェア「Vawtrak(「Neverquest」や「Snifula」の名でも知られている)」は2013年夏に発見されて以降、何度も進化を遂げながら感染を広げてきたトロイの木馬である。特に「Zeusのボットネットがテイクダウンされたあとに注目される脅威」として、闇市場では一躍有名となっていた。

バンキングマルウェア「Vawtrak」の脅威

2014年前半までのVawtrak(ボートラック)は、主に「日本のオンラインバンキングのユーザーを標的したマルウェア」として知られる存在だったが、2015年前半には米国やカナダの銀行を狙ったタイプのVawtrakが流行する。さらに2015年後半以降には米国、および英国やドイツ、フランスを中心とした欧州の全域、そしてそれ以外の地域でも、オンラインバンキング・オンラインゲーム・SNSなどのジャンルで感染を広げていった。

セキュリティ企業PhishLabsが報告した「2014年の最も危険な脅威」の中でも、すでにVawtrak は「Zeusのマルウェアファミリー全体(GameOver、KINS、ZeusVM、Zberpなどを含む)」に次ぐ脅威という位置づけになっていた。また、2015年4月にARBOR Networksがブログで発表した報告では、世界の被害者たち(つまり侵害されたコンピューター)の分布が地図上に示されている。これを見れば、Vawtrakがどれほど多くの国に対応しうるマルウェアなのかを確認できる。

Vawtrakの被害状況 ARBOR Networksのブログより

日本でも多くの被害が出ている ARBOR Networksのブログより

Vawtrakの詐欺の手口そのものは、「感染したユーザーの端末からクレジットカードなどの金融情報、クレデンシャル情報、その他の個人情報を盗み出し、詐欺師(マルウェアの使い手)の元へ送る」という典型的なものだ。しかしVawtrakは感染させたマシンを「さまざまなオンラインアカウントにログインする際のユーザーのクレデンシャル情報を包括的に収集するボットネット」の一部にしてしまう。

さらに「国ごとに異なった設定ファイルをダウンロードできるようになる」「マルウェアの更新の際、『Torネットワークを介して配布されたファビコン』を介してデータを送受信できるようになる」などの技術的な進化を遂げ、自身の感染力と「検出を避ける能力」とを強化させていった。

セキュリティ企業のSophosは2014年の時点で、Vawtrakが「CaaS(crimeware as a service:サービスとしてのクライムウェア→商品として扱われる犯罪用のマルウェア)の国際的なビジネスモデルの一環として用いられている」と指摘する詳細なレポートを発表していた(PDF)。そして今回バルセロナの空港で逮捕されたのは、その「世界を股に掛けたクライムウェア」の作者であり、運用にも携わってきたと疑われている人物である。

ロシアンハッカーの逮捕

このタイミングで「ロシアのハッカー」がFBIの要請により逮捕されたというニュースを聞けば、先日の大統領選を狙った一連のハッキング事件の影響があるのではないか、と考える向きもあるだろう。しかしLISOV逮捕のプレスリリースを発表したグアルディア・シビルによれば、FBIは2014年から同容疑者の捜査を開始したのち、国際指名手配を要請していたという。

LISOVが利用していたフランスとドイツのサーバーを徹底的に調査した結果、そこには金融機関の口座から盗まれた情報のデータベースが存在していた、とグアルディア・シビルは説明している。それらのサーバーの一つには、銀行、その他の金融系ウェブサイトのアカウントの「ユーザー名、パスワード、秘密の質問と回答など含む、数百万のログイン情報のファイル」が格納されていた。Vawtrakが被害者たちの口座から奪ってきた額は、およそ500万ドル(約5億7000万円)だったと、そのプレスリリースには記されている。

今後、LISOVを米国に引き渡すかどうかはスペインの高等裁判所が決定するため、現在の同容疑者はカタルーニャ州で当局の監視下に置かれている。面白いことに、グアルディア・シビルのプレスリリースのページには、逮捕されたLISOVの写真が5点も掲載されている(ただし顔にはボカシ入り)。一方のロシア大使館は、被告の逮捕と罪状に関して、より多くの情報を提供するようスペインに要請している。




地図サービスが悪用される!? 住所とピンのズレは裏世界の入り口

October 23, 2017 08:00

by 牧野武文

中国で最も多くの人が使っている百度地図に、不思議なPOI(Point of Interest)、いわゆるピンが大量に登録されている。ピンの位置と、説明に記載されている住所がまったくかけ離れているのだ。法制日報の記者が、この不思議なPOI地点に足を運んで取材をしてみると、そこは上海の裏社会に繋がってい…

こっそり仮想通貨をマイニングする侵入者たち

October 20, 2017 08:00

by Zeljka Zorz

仮想通貨を渇望しながら、購入やマイニングなどにお金を払いたくないハッカーたちは、ユーザーのウォレットやコンピューター、人気のウェブサイト、そしてパブリッククラウドコンピューティングー環境を利用して、仮想通貨を手に入れようとしている。 マイニングのソフトウェア・マルウェアは、すっかり周知となった厄介者…

IoTアダルトグッズからわかる「BLE通信のセキュリティ問題」

October 18, 2017 08:00

by 江添 佳代子

ペネトレーションテストとセキュリティサービスの企業組織体「Pentest Partners」の研究者が先日、IoTのアダルトグッズの脆弱性に関する研究結果をブログで発表した。人々の注目を集めやすいグッズの話題だったためか、それは単純に面白いセキュリティニュースとして一般メディアでも取り上げられている…

自動で犯人を見つけて警察に通報する中国の監視カメラシステム

October 16, 2017 08:00

by 牧野武文

米国のテレビドラマ『24』に登場するCTU(Counter Terrorist Unit=テロ対策ユニット)は、街頭の監視カメラに侵入し、テロリストの姿をいったん補足すると、次々と別のカメラを使って追尾をしていくシーンがある。広東省の深圳を始めとする各都市で、このような監視カメラ追尾システムの試験運…