マルウェアにセキュリティソフトを組み込みユーザーを守るホワイトハッカーの登場か

By Yuri Samoilov

オンラインバンキングのアカウント情報を盗むために用いられるマルウェアの「Dridex」が展開するボットネットが、アンチウイルスソフトウェアを配布し始めるという、本来の銀行詐欺とはかけ離れた行動をとりはじめたことがアンチウイルスソフト「Avira」の調査により判明しました。同社によれば、Dridexのボットネットが何者かにハッキングされた可能性があるとのことです。

Dridex botnet distributor now serves Avira - Avira Blog
http://blog.avira.com/dridex_serves_avira/

Dridex malware exploit distributes antivirus installer—hack suspected | Ars Technica
http://arstechnica.com/security/2016/02/dridex-malware-exploit-distributes-antivirus-installer-hack-suspected/

Dridexとはオンライン銀行詐欺ツールの一種であり、感染すると画面のスクリーンショットを撮影されたり、ログイン情報を盗まれたりなどの被害がもたらされます。摂取された個人情報を利用すればオンラインバンキングやSNSなどへの不正ログインが可能になり、アメリカでは2015年10月時点でDridexの被害額が約12億円にのぼりました。

By Lee Davy

事態を重く見たアメリカ政府はDridexのボットネットを2015年10月に遮断。政府の取り組みによりボットネットが封じられたわけですが、遮断以降も厳重な警戒がユーザーには求められています。

政府が遮断するほど悪評の高かったDridexですが、アンチウイルスソフトのAviraによると、Dridexのボットネットにある悪質なリンクがAviraのインストーラーに組み替えられていることが判明したとのこと。つまり、ユーザーがDridexの組み込まれた添付ファイルを開いても、Dridexがインストールされるのではなく、アンチウイルスソフトのインストーラーが起動されるというわけです。しかもインストールできるAviraのソフトウェアは期限切れといった不具合があるのものではなく、きちんとした正規版のコピーであるとのこと。

By EFF Photos

Aviraの調査員は「今のところ原因は全くもって不明ですが、ホワイトハッカーがDridexのボットネットをハッキングした可能性があります。もしくは、ハッカーがAviraを怒らせようとしているのかもしれません。いずれにせよ、DridexのボットネットにAvira製アンチウイルスソフトウェアのインストーラーが組み込まれていることは、我々が仕掛けたことではありません」と述べています。

IT関連メディアのArs Technicaによると、Aviraのインストーラーがウイルスに組み込まれたのは今回が初めてではないとのこと。Aviraのインストーラーは、過去にCryptoLockerやTeslaCryptといったランサムウェアに組み込まれたことがありますが、CryptoLockerのケースにおいてはインストーラーを実行できない仕様でした。AviraをDridexのボットネットに組み込んだ犯人が善意でやっているのか、それとも裏で何かたくらんでいるのか、非常に気になるところです。