海外における個人情報流出事件とその対応　第166回今年もお騒がせ、ストームワーム　(1)大規模攻撃を続けるストームワーム

2007年、世界で猛威をふるい、すっかりおなじみになった悪名高いストームワームだが、今年に入っても、早速このワームが世間を騒がせている。

これは、1月8日にF-Secureが研究員のブログサイト、ウェブログの中で、フィッシング詐欺によって、ストームワームのボットネットを貸し出しているようだと発表しているものだ。F-Secureが発見したのは、ドメイン名、i-halifax.comを用いていて、英国の金融機関のHalifaxグループだと偽ったフィッシング詐欺だ。ロゴやデザインなど、そっくりなリンクへと誘導して、メール受信者にオンラインバンキング用のユーザ名とパスワードを入力させようとする。

i-halifax.comのサーバは、「fast flux」サイトで、変化を続けて追跡が困難な上、サイトのIPアドレスは秒単位で変わっている。また、ボットネット内でポスティングされていたそうだ。見つかったIPアドレスから1つを抽出してさらに調べると、hellosanta2008.comやpostcards-2008.comといったストームワームらしいものが現れた。このことから、F-Secureでは、Halifaxのフィッシング詐欺メールはストームに感染したボットから送信されているようだと考えている。

また、同じ1月8日、トレンドマイクロ社のマルウェアのブログで、同様にRoyal Bank of Scotlandと偽ったフィッシングメールが、ストームワームによるボットネットから送信されていると報告している。Royal Bank of Scotlandも英国の金融機関で、偽サイトへ受信者をアクセスさせて、ユーザ名やパスワードを盗もうとする。

送信元はやはりfast fluxのボットネットだ。トレンドマイクロでは悪名高いRBN(Russian Business Network)との関連を示唆している。

RBNは、ロシアのセントペテルスベルグに本拠を置く、インターネットサービスのプロバイダで、児童ポルノやフィッシング詐欺、マルウェアの拡散など、不法行為を行っているとされている。いわばロシアのサイバー犯罪者の集団で、昨年話題になったウェブ攻撃ツールMpackや、不正なiFrameタグ挿入との関係など、世界規模で問題となったネットセキュリティ事件や現象の…

【執筆：バンクーバー新報　西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec