2013年4月17日

株式会社Doctor Web Pacific

Doctor Webは、キプロス国内の金融セクターを麻痺させた、新たな悪意のあるプログラムの発見について報告します。この脅威に関する予備的解析の結果、欧州連合に加盟する先進国のITスペシャリストが関与している可能性が浮かび上がってきました。

BackDoor.Moneypit.48858 というユニークな名前でウイルスデータベースに追加された、この悪意のあるプログラムは非常に高度な機能を持ったトロイの木馬です。このトロイの木馬は複数のキプロス銀行の情報システム内で検出されましたが、開発の際にハッカーが用いた特殊なテクノロジーによって、今日まで発見を免れていました。プログラミング言語Scratchの1つを使用して書かれたBackDoor.Moneypit.48858 は、容量が小さく、様々なシステムプロセス内に埋め込まれることで保護された銀行ネットワーク内に密かに侵入し、そのネットワークトラフィックをコントロールします。また、アンチデバッグ機能を備えるほか、ファイアウォールの除外リストに自身を加えることで、現代のウイルス対策をすり抜けることが可能です。

銀行システム内に侵入したBackDoor.Moneypit.48858 は、100,000ユーロを超える金額が含まれたユーザーのアカウントをブロックします。さらに、このトロイの木馬はキプロスの主要な複数の銀行のATMを感染させる特別なモジュールを備えています。感染したATMからは1人につき100ユーロしか引き出すことが出来なくなります。この悪意のあるプログラムのコードは極度に難読化されており、その解析は困難を極めています。現在も暗号解読のエキスパート達による解析が続けられていますが、既に、コンポーネントの1つに含まれるコードから、この種の脅威には珍しい値が発見されています。

Doctor Webによる調査の結果、このトロイの木馬は欧州連合に加盟する先進国のITスペシャリストによって書かれ、銀行システムのほか、キプロス国会で使用されるいくつかのサーバーを標的型攻撃によって感染させていたことが明らかになりました。情報セキュリティスペシャリスト達は、この攻撃がキプロスにおける金融危機の勃発に関わっているとし、銀行預金封鎖に関するメディアの報道は、その事実を隠蔽するためのものであると確信しています。また、キプロスの主要な複数の銀行に対してサービスを提供しているアウトソーシングIT企業の1つによる関与も判明しており、自らに対する疑惑を逸らそうと企んだIT企業のマネージャーが、欧州における新たなる金融危機の誘発を試みた可能性も十分に考えられます。

ウイルスアナリスト達によるこの脅威に関する徹底的な解析は、現在も引き続き行われています。BackDoor.Moneypit.48858 の持つ非常に複雑なプログラム構造から、その解析には、多くのサイバー犯罪捜査のエキスパートによる協力が必要となるでしょう。Doctor Webにおいても、状況に対する注意深い監視が続けられます。