ステルス型マルウェア「IcoScript」について~G DATAセキュリティラボ(グローバルワイズ)

2014年 8月 22日(金曜日) 12:52

株式会社グローバルワイズ(本社:名古屋市中村区、代表取締役:伊原 栄一)は、ドイツのセキュリティソフト会社であるG DATA Software AG(本社:ボーフム市、代表取締役:フランク・ハイスラー他)のセキュリティラボからの注意喚起として、Windows PCユーザーに対して、Yahooメールの仕組みを悪用して感染させるステルス型マルウェア「IcoScript」(イコスクリプト)の攻撃が確認されており、今後、他の大手ポータルサイトのメールサービスやSNSにも活動が広がるおそれがあると発表したことを、ここにお伝えします。

***

弊社のパートナー企業であるGDATAのセキュリティラボにおいて、最近、注意すべきマルウェアの活動が確認されました。ユーザーに知られずにWindows PCを自由に操るステルス型マルウェアで、画像ファイル(.ico)にスクリプトを埋めこんでいるため、「IcoScript」(以下「イコスクリプト」と記載)と呼ばれています。

「イコスクリプト」は、ごく一般的な「遠隔操作ツール」(RAT)の一種ではありますが、制御サーバーとの通信にとても変わった方法が用いられており、独自のスクリプト言語を使用してメールアカウントに自動的に接続することが特徴です。このアカウントを通じて、感染したコンピュータに対してコマンドや制御のやりとりができるようになります。ほとんどのセキュリティソリューションでは、ポータルサイトのメールサービスへのアクセスはブロックされないため、このトロイの木馬は、気づかれることなく、コマンドを受信し、実行できるのです。

このマルウェア自体は決して新しいものではありませんが、YahooメールやGmailを介して感染させるという手法が斬新であり、かつ、巧妙です。今後は、その他の大手ポータルサイトのメールサービスや、Facebook、MixiといったSNSなどにも悪用される恐れが十分にあり、とても危険性が高いため、広く注意を促します。

なお、G DATAのセキュリティ・データベースで、Yahooメールで感染するマルウェアを、「Win32.Trojan.IcoScript.A」として登録しています。G DATAセキュリティラボのスタッフによる詳細な分析は、IT雑誌「ウイルスブリテン」に掲載されています。

ラルフ・ベンツミュラー(G DATA セキュリティラボ所長)のコメント

「このマルウェアは、通常のデータ転送のような流れに紛れ込んでしまい、きわめて可変的かつ適応自在であるため、ITセキュリティ部門や防護システムの担当者には、とても嫌なものです。こういうマルウェアを知ると、開発者たちがいかに防御メカニズムを熟知しているかを思い知らされます。しかも、こうした攻撃手法は、Yahooメールにとどまることはありません。大手のポータルサイトにおけるメールサービス、たとえばGmailやOutlookでも同様に動作することでしょう。さらには、FacebookやLinkedInその他のSNSでさえ、全く同じように動作する可能性があります。」

「IcoScript」とは

「Win32.Trojan.IcoScript.A」と呼ばれるこのマルウェアは、その名のとおり、Windows PCで活動し、広くはトロイの木馬型に分類されます。また、セキュリティの網の目をかいくぐることができるので「ステルス」型マルウェア、とも呼ばれます。

マルウェアは通常、アプリケーションのプロセスに挿入されています。アプリケーション起動時に、書きこまれた不正コードも実行されます。ウイルス対策ソフトは、こうしたマルウェアを検出する仕組みになっています。しかし「イコスクリプト」は、マイクロソフトのCOM*のインターフェイスを悪用して、Internet Explorer上で不正コードを実行させることが可能です。とりわけ開発者は、COMインターフェイスによってブラウザのプラグインを作成することもできます。

*COM(=コンポーネント・オブジェクト・モデル)とは、マイクロソフト社による、プログラム開発を機能ごとにパーツ化した技術仕様のことで、COMに基づいたコンポーネントは開発言語に関係なくインターフェイスを介して通信が可能であり、このコンポーネントを組み合わせることによって、アプリケーションが迅速に開発できるようになります。

この機能によって、マルウェアのプログラマーは、ユーザーまたはウイルス対策ソフトに気づかれずにブラウザに侵入できる隠れ場所をつくることができます。そうすると、外部にいるにもかかわらず、コンピュータ上にあるデータや、ネットワーク内のデータが、完全にふつうのインターネットでみているデータのようになります。さらに、マルウェアの作成者は、ネットワークの設定に対して、特に何かをする必要がありません。これらは、最初からブラウザに組み込まれているかのように受け入れられるのです。

AV業界の重鎮ウイルスブリテンに詳細論文を掲載

英国のIT雑誌「ウイルスブリテン」のウェブサイトに技術論文「マルウェアを制御するためにWebメールを使用するイコスクリプト」(英語)が掲載されています。これはG DATAセキュリティラボのポール・ラスカネラスが書いたものです。

HTML版: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript

PDF版: https://www.virusbtn .com/pdf/magazine/2014/vb201408-IcoScript.pdf

ジーデータソフトウェアについて

G DATA Softwareは、1985年に創業し、1987年に世界初の個人向けウイルス対策ソフトを開発したドイツのセキュリティソフトウェア会社です。最大の特徴は、世界最高位のウイルス検出率。既知ウイルスはもちろんのこと、新種や未知ウイルスの防御、フィッシング対策、オンラインバンキング対策、スパム対策など、インターネットやメール環境を、安全・快適にする機能を豊富に搭載しています。現在は、Windows PCにかぎらずMacやAndroid端末向けのセキュリティソフトも開発しています。

G DATA公式ページ http://gshop.g-wise.co.jp/


■問い合わせ先

本公開内容に関するお問い合わせについては、下記までお願いします。

株式会社グローバルワイズ
セキュリティソリューション推進室 浦瀬・山本
〒450-0003 名古屋市中村区名駅南2-14-19  住友生命名古屋ビル21F
TEL:052-581-2600  FAX :052-533-3611
E-Mail pr_gdata@g-wise.co.jp

登録者:GDATA_GlobalWise

カテゴリー: プレスリリース配信 タグ: G Data
プレスリリース配信 プレスリリースの一覧 ステルス型マルウェア「IcoScript」について~G DATAセキュリティラボ(グローバルワイズ)