スパイアイ
| スパイアイ | |
|---|---|
| マルウェアの詳細 | |
| 技術名称 | スパイアイ |
| タイプ | スパイウェア |
| サブタイプ | キーロガー、フォームグラバー |
| 起源 | ロシア、アルジェリア |
| 著者 | アレクサンドル・アンドレーヴィチ・パニン、ハムザ・ベンデラジ |
SpyEyeは、 Microsoft WindowsオペレーティングシステムでGoogle Chrome、Safari、Opera、Firefox、Internet Explorerを実行しているユーザーを攻撃するマルウェアプログラムです。 [ 1 ]このマルウェアは、キーストロークロギングとフォームグラビングを使用してユーザーの認証情報を盗み、悪意のある目的で使用します。[ 1 ] [ 2 ] SpyEyeを使用すると、ハッカーはオンライン銀行口座から金銭を盗み、正当なユーザーが銀行口座にログインしている間でも取引を開始できます。[ 3 ]
SpyEyeは、侵入したユーザーのブラウザがウェブページを表示する際に、新しいフィールドを挿入したり、既存のフィールドを変更したりする機能を備えています。これにより、ユーザー名、パスワード、カード番号などの入力を求めることができ、ハッカーは口座保有者に気付かれることなく金銭を盗むための情報を得ることができます。また、ユーザーの偽の残高(不正な取引は隠蔽)を保存できるため、ユーザーが次回ログインした際に、不正な取引と実際の残高はブラウザに表示されません(ただし、銀行側は不正な取引を依然として確認できます)。[ 4 ]
SpyEyeは2009年にロシアから発信され、地下フォーラムで500ドル以上で販売されました。その中でSpyEyeは、キーロガー、クレジットカード自動入力モジュール、電子メールのバックアップ、設定ファイル(暗号化)、Zeusキラー、HTTPアクセス、POP3グラバー、FTPグラバーなどの機能を宣伝していました。[ 5 ]
SpyEyeの最大の被害者は、米国、英国、メキシコ、カナダ、インドの標的ユーザーと機関であり、このマルウェアの被害を受けた機関の97%を米国が占めている。[ 6 ]
SpyEyeの著者
Zeusの作者は引退し、 Zeusのソースコードと販売権を最大のライバルであるSpyEyeトロイの木馬の作者に譲渡したとされている。同じ専門家は引退は策略であり、開発者が新たなトリックを携えて戻ってくると警告している。[ 7 ] [ 8 ]
2016年、スパイアイの作者であるアレクサンダー・アンドレーヴィッチ・パニン(別名「グリボデーモン」および「ハーダーマン」)が逮捕され、検察との司法取引の一環として、銀行詐欺および電信詐欺の共謀罪で有罪を認めた。彼は懲役9年6ヶ月の判決を受けた。[ 9 ] [ 10 ]
SpyEyeの共著者であるハムザ・ベンデラジ(通称「Bx1」)は、パニンと同時に逮捕されました。彼は、SpyEyeのバージョンをオンラインで販売し、マルウェアを使用して金融情報を盗んだ罪で、懲役15年の判決を受けました。両名は、SpyEyeを使用して5000万台以上のコンピューターに感染させ、世界中の個人および金融機関に10億ドル近くの損害を与えたとして告発されました。[ 11 ] [ 10 ]
参照
- コンフィッカー
- コマンドアンドコントロール(マルウェア)
- ゲームオーバー ZeuS、ZeuS の後継
- トバール作戦
- コンピュータウイルスとワームのタイムライン
- タイニーバンカートロイの木馬
- トルピグ
- Zeus(マルウェア)
- ゾンビ(コンピュータサイエンス)
参考文献
- ^ a b Krebs, Brian (2011-04-26). 「SpyEyeがOperaとGoogle Chromeユーザーを標的に」 . Krebs on Security . 2020年7月9日閲覧。
- ^ 「Trojan: Win32/Spyeye」 . www.microsoft.com . 2011年6月14日. 2020年7月9日閲覧。
- ^カーク、ジェレミー (2011年7月26日). 「SpyEye Trojan、オンラインバンキングの防御を破る」 . Computerworld . 2020年7月9日閲覧。Trusteer
のCEO、ミッキー・ブーダイ氏によると、最新バージョンのSpyEyeには、銀行が不正取引をブロックするために導入している高度なシステムを回避するように設計された新しいコードが組み込まれているという。銀行は現在、ユーザーがサイト上で閲覧したページ数、1ページでの滞在時間、取引の実行にかかった時間といったパラメータに注目し、ユーザーによるサイトの利用状況を分析している。その他の指標としては、IPアドレスが挙げられる。例えば、普段マイアミ地域からログインしているユーザーが突然ロシアのサンクトペテルブルクからログインしたといったケースなどだ。SpyEyeは高速に動作し、平均的なユーザーがウェブサイト上で手動で行うよりもはるかに速く、自動的かつ迅速に取引を開始できる。これは銀行が取引をブロックする重要なきっかけとなる。そこでSpyEyeの作者たちは、自動化された方法ではあるものの、実際の人間がウェブサイトを閲覧する方法を模倣しようとしている。
- ^ Kirk, Jeremy (2012-01-04). 「SpyEyeマルウェア、Zeusのトリックを借用して詐欺を隠蔽」 . PC World . 2020-07-09閲覧.
SpyEyeは、Webページに新しいフィールドを挿入する機能(HTMLインジェクションと呼ばれる手法)で有名で、銀行の顧客に通常は尋ねられないような機密情報を要求する可能性があります。要求されるデータには、ログイン情報やパスワード、デビットカード番号などが含まれます。また、HTMLインジェクションを利用して、不正確な銀行残高を表示することで、口座からの不正な送金を隠すこともできます。Trusteerは、SpyEyeがユーザーがログアウトして再度ログインした後でも不正な取引を隠すことに気付きました。この最新機能は、ユーザーに詐欺行為に気付かせないという同じ目的で設計されています。 TrusteerのCEO、アミット・クライン氏によると、ユーザーが次に銀行口座にログインすると、SpyEyeは記録を確認し、その口座で行われた不正な取引を確認し、ウェブページから削除する。口座残高も変更される。
- ^ Coogan, Peter (2010年2月4日). 「SpyEye Bot vs Zeus Bot」 . Symantec公式ブログ. 2020年7月9日閲覧。
- ^ Irinco, Bernadette (2011年9月14日). 「トレンドマイクロの研究者がSpyEyeの活動を発見」 .トレンドマイクロ. 2020年7月9日閲覧。
- ^ダイアン・バーツ (2010年10月29日). 「トップハッカーが引退、専門家は彼の復帰に備える」ロイター. 2010年12月16日閲覧。
- ^ Internet Identity (2010年12月6日). 「ソーシャルネットワーキング、モバイル、インフラ攻撃の増加が2011年の企業セキュリティを脅かす」 . Yahoo! Finance . 2010年12月16日閲覧。
- ^ブライアン・クレブス(2016年4月20日) 「SpyEye開発者、懲役24年」『Krebs On Security』2017年3月23日閲覧。
- ^ a b 「世界中の銀行口座を盗んだSpyEyeウイルスのハッカーに禁錮刑」ガーディアン紙、AP通信、2016年4月21日。ISSN 0261-3077 。 2025年3月14日閲覧。
- ^カンデルワル、スワティ。「SpyEyeウイルス作成者に懲役24年の判決」The Hacker News。2017年6月20日閲覧。
