SCAN DISPATCH : 盗まれたFTP情報が闇取引、SaaSとして提供も
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
国際
海外情報
──
盗まれたFTPログイン情報が闇取引されていることが明らかにされた。その中には、日本の企業ドメインも含まれている。
2月末、米国カリフォルニア州に本社があるセキュリティ企業のFinjan社が、「Finjan Uncovers More than 8,700 FTP Server Credentials」というタイトルのプレスリリースを流した。これは、Finjan社のMalicious Code Research Center (MCRC) が毎月発表する「Malicious Page of the Month」の2008年2月号に基づいている。MCRCが、全世界8,700のFTPサーバーのログイン情報が売買されていることを発見した、というものだ。Finjan社のCTOであるYuval Ben-Itzhak とのメールでのインタビューの模様を交えてレポートを紹介する。
Finjan社がこのレポートを作成するきっかけとなったのは、「悪意がある」と判断されたURL、meoryprof.info (me-or-you-profit「俺かお前の利益の情報」の意味)が、政府関連URL内部で検知されたことをきっかけとしている。MCRCがさらに調査してみると、この悪意のあるURLは、Neospolitという複数のユーザー(攻撃者)がリモートから使用できるように設定されている Software as a Service(SaaS)であることが判明した。この場合のSoftware as a Serviceとは、攻撃用アプリケーション、攻撃に必要な情報や攻撃対象、アプリケーションの使用権利などをパッケージにして販売するもの。この発見されたURLにも、サービスと共にバックエンドにFTPのログイン情報を売買するアプリケーションが見つかっていた。
NeoSploitは、2007年の初頭に発見され、最近ポピュラーになってきている攻撃用CGIスクリプトで、"grabarz"によってC言語でプログラムされている。ストリート価格は1,500ドルから3,000ドルと言われている。
攻撃者、つまりユーザーは、NeoSploitの自分のアカウントにログインし、用意された8,700の盗難されたFTPのアドレス、ログインIDとパスワードを選んで購入し、そのFTPのアカウントにあるwebpageのindexに自動的にiFrameのタグを挿入するようになっているほか、任意のファイルをそのFTPにアップロードすることもできる。
売買用インターフェイスでは、どの国に存在するFTPか、GoogleのPageRank(tm)で何位になるかなどの情報と照らし合わせて、ログイン情報の価格を決定するようになっていた。インターフェースはロシア語である。
見つかったFTPログイン情報は、Alexa.comによると、トップ100に含まれているドメインが10個ほど、100〜500位にランキングされているドメインが100個ほどあった。Finjan社のCTOである Yuval Ben-Itzhak氏によれば、「どの企業がリストに入っていたかは公開できないが、 製造業、マスコミ、学術関連、IT、政府、金融などあらゆる企業が含まれており、2,300が米国の企業、日本の企業(*.jp)も全部で4ドメイン見つかっている」という。売買用インターフェースは、ユーザー(攻撃者)がURLの国、ランキングなどクリックしながら選んで買えるように設定されている。
一度サービスを購入したユーザー(攻撃者)のアカウントからは、ユーザー(攻撃者)が設定した悪意のあるプログラムにアクセスしている被害者の数、現在までのクライムウエア(犯罪目的のソフトウエア)のダウンロード数、すでにダウンロードされたクライム・ウエアで、きちんと連絡がとれた数、などが一覧できるようになっている他、図のように、リンクをたどると、iFrameの実際のコード、トロイの木馬のプログラムなどがダウンロードできるようになっている。
https://www.netsecurity.ne.jp/images/article/080304_finjan.jpg
昨今、正規のウエブサイトに…
【執筆:米国 笠原利香】
【関連リンク】
Finjan社プレスリリース
http://www.finjan.com/Pressrelease.aspx?id=1868&PressLan=1819&lan=3
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》