海外における個人情報流出事件とその対応「情報漏えいで失業者に二重の打撃」（2）第三世代のQakbot

●対応の遅れと財務情報漏えいで高まるリスク
漏えいが判明したのは「Threat Post」のDennis Fisherによると4月下旬だ。「SC Magazine」では4月20日と日付を特定している。コンピュータの反応が遅いという連絡がヘルプ担当に相次いだ。処理速度が遅い原因のひとつとして、マルウェア感染も疑われる。ネットワークマネージャーが調べた結果、案の定、感染が確認された。

「Boston.com」では、事件が明らかになったのが5月13日と、通知まで3週間以上かかったことから「なぜそれほど時間がかかったのか」と、通知の遅れを指摘している。州法では、データ漏えいがあった企業は、実行可能なかぎり「できるだけに早急に」「遅れることなく」通知することを求めている。

ただし、検察局では、「警告をもっと早くに出しているべきだった」と決めるのは早急すぎるとコメントしている。また、ソフォスのネットワークセキュリティアナリストのChester Wisniewski氏から「コンピュータウイルスは一般的になっているので、ネットワークが（マルウェアに）感染したといっても、すぐに警告を行うのは意味がない」と話している。迅速に通知することは、早急な対応を可能にして、ひいては被害も最小限にすることができるだけに、やはりもっと早くに対応するべきで、対応が遅れたのではないかという印象はある。

17日付けの発表では、銀行口座についての情報もハッカーの手に渡ったと警告している。当初の発表では触れていなかった財務関係の情報流出に、被害者のリスクは高まったと言えるだろう。州政府では、司法局サーバ犯罪部、消費者問題事務所、FBIをはじめとする、関係する国と州当局に連絡も行った。

●危険度の高いワーム
事件でシステムを感染させたのは「W32.Qakbot」ワームだ。このワームは2009年に初めて確認されていて、シマンテックによると今年の2月24日に第三世代の「Qakbot」が見つかっている。

W32.QakbotはMicrosoft Internet ExplorerやApple QuickTimeなどの脆弱性を攻撃するJavascriptを含むWebページで感染し、ネットワーク共有やリムーバブルドライブを通して拡散する。ファイルを追加ダウンロードするほか、感染したコンピュータのバックドアを開き、自身の存在を隠すためのルートキット機能も持つ。

そして、「Watchdog」と「Swatcher」の2つのスレッドを実行することで、生き残りを試みる。Watchdogはワトソン博士がメモリに起動しないか監視していて、見つかったら終了させる。Swatcherについては、レジストリのサブキー、RunやRunonceを30秒ごとにチェックして、必要な場合は更新する。盗んだデータは異なるセグメントに分けて外部に送る。ゆっくりと注意深く、慎重に行動し、探知されないように気をつけているマルウェアだ。

W32.Qakbotには

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)