海外で頻発する大規模なクレジットカード情報漏洩事件の背後で、非常にシンプルかつ効率よく悪行をはたらく新型のトロイの木馬型マルウェア「ChewBacca」が暗躍している―。EMCジャパンRSA事業本部が2014年2月6日に発行した月次セキュリティレポート「AFCC NEWS」の最新版でその実態を解説している。
「ChewBacca」―この、有名SF映画の登場人物の名を冠した新しいトロイの木馬は、既出の「Dexter」や「vSkimmer」同様、オンライン型のPOS端末への攻撃を企図して作られている。RSAが解析を行ったところ、入力および操作の履歴の記録(キーロギング)や処理中のメモリの内容のスキャン(プロセスメモリスキャン)にWindowsのAPIを利用していることが判明。この点から、ChewBaccaが狙うPOS端末は、Windowsベースの端末に限られるようだ。
「ChewBaccaと、DexterやvSkimmerの最大の違いはその出自にある」とRSAは指摘する。同社は、DexterやvSkimmerが、地下市場で流通させる前提で開発された“商用モデル”であるのに対して、ChewBaccaは、特定の犯罪組織が自らの犯行のために開発した“プライベートモデル”であると分類している。そして、通常の商用モデルには見られないChewBaccaの特徴として、仮想環境では動作しないといった、外部からの解析を妨害する仕掛けがまったく見られないことと、他に必要なモジュールのないシンプルな自己完結型であることの2つを挙げる。
だからといって、ChewBaccaが原始的・前時代的なトロイの木馬だととらえるのは早計のようだ。RSAは、ChewBaccaが、TOR(The Onion Router)ネットワークを利用することで、C&Cサーバとの間の通信の秘匿化に成功していることへの着目を促している。
TORとは、TCP/IPにおける接続経路の匿名化を実現するための規格のことで、P2P技術を利用したSOCKSプロキシとして動作する。TORネットワークは、ローカルポート5090番をリッスンするクライアントアプリケーションを使ったP2Pネットワークの一種で、".onion"で終わるドメインを持つ端末間の通信は外部から秘匿化され、通信内容からは、発信側・受信側のアドレスや送信されているデータの内容がわからないという特徴を持っている、とRSAは説明する。
このChewBaccaによるクレジットカード情報の窃取をRSAが初めて確認したのは2013年10月25日。それから、3カ月ほどの間に、米国だけでなく、ロシアやカナダ、オーストラリアなど11カ国で発見されているという。「解析防御などの不備など洗練性に欠けるところもあるが、ChewBaccaは、非常にシンプルであるにもかかわらず、大変効率のよい仕事をするトロイの木馬として、大いに注意をする必要がある」と同社は警鐘を鳴らしている。