2010 年、ゲーム トロイの最大の罠


By  Andrew Brandt, Curtis Fechner

2 日にわたって World of Warcraft (WoW) のすべてを祝う BlizzCon が今年は National Cyber Security Awareness Month (米国サイバー セキュリティ意識向上月間) 中に開催されましたが、これはいいタイミングでした。WoW ほど泥棒たちに狙われているゲームは他にありません。そのため、これはゲーム プレイヤーの目の前にあるマルウェアの脅威を減らす良い機会になると思いました。2010 年は、ゲームのパスワードやライセンス キーを盗むトロイの木馬にとって重大な年でした。

オンライン ゲームをターゲットにするマルウェアの開発者は、情けを見せる気も仕事の手を抜く気もないようです。革新という名のこのゲームにおいて、今年パスワード スティーラーは新しい感染テクニックを導入し、感染効率の上昇と検出率の低下を実現しました。


Blizzard のオーセンティケーターのような 2 要素認証トークンは不正防止にとても有効です。WoW のプレイヤーなら 7 ドルほど出してオーセンティケーターを購入すれば、トロイの木馬やフィッシング Web サイトにアカウントを侵害される心配がなくなります。このオーセンティケーターは 1 分ごとに違う番号を表示します。ゲームをプレイするには、ユーザー名とパスワードと一緒にこの番号を入力する必要があります。

ただし、Blizzard のゲーム プレイヤーはオーセンティケーターのおかげでフィッシングの被害に遭うリスクを減らすことができますが、多人数同時参加型ゲームはフィッシング ページやマルウェアの最大のターゲットとなっています。この種のゲームを運用する他の会社も窃盗のターゲットとなっているのですが、Blizzard のような安全なログイン認証方法はまだ提供されていません。

今年出現した手法は、悪意のあるキーロガーを 1 つ以上の Microsoft DirectX ライブラリに連結します。DirectX は、ほとんどの 3D ゲームが画像のレンダリング、効果音の再生、ゲーム コントローラーの操作に使用している Windows のエンジンです。DirectX にフックしたトロイの木馬は DirectX を使用するときに必ず読み込まれます。DirectX はゲームをプレイするときに必ず読み込まれます。つまり、この「スリーパー組織」のゲーム フィッシング型トロイの木馬はゲームをプレイしなければ眠ったまま何もすることはありません。ウェブルートは 5 月に定義 Trojan-PWS-Cashcab を公開してこの手法を打ち負かしました。また、DirectX を再インストールして上書きするだけでもこの感染を除去できます。

今年になるまでほとんど使用されなかったもう一つの手法は、感染したコンピューターの入力システム (IME) をキーロガーに置き換えることです。IME はキーボードのマップとして機能しますが、文字の数が通常のキーボードの 104 キーよりはるかに多いアジア言語では特に重要なものとなっています。日本語、中国語、韓国語のような非ラテン文字を入力するには複数のキーを押す必要があり、IME はこれらのキーストロークを解釈して適切な文字を生成します。

パスワードの盗み取りに関心がある場合、キーストロークを解釈するソフトウェアにトロイの木馬を仕込むことは非常に理にかなっています。2005 年のシマンテックの白書で偽の IME を使用したキーストロークの記録は予見されていましたが、最近までこの技術はあまり使用されていませんでした。ほとんどのゲーム フィッシング型トロイの木馬は中国で発生しています。ウェブルートの Trojan-PWS-IMEsneak 定義で検出されるマルウェアでは、中国のゲーム フィッシング詐欺犯が配信していると思われるものが増えているのも容易に納得できます。

今週私が実行した未知のダウンローダーのサンプルは申し分のない例でしょう。このダウンローダーは、中国にあるサーバーに接続して別のサーバー (これも中国にあります) で保存されている 24 個のプログラムのリストを取得した後、1 個ずつダウンロードして実行しました。ダウンロードされた 24 個のプログラムのうち、17 個はレジストリ キーや他のペイロード ファイルをインストールしましたが、ウェブルートの IMEsneak 定義で検出されました。残りのプログラムはキーストローク モニタリング ソフトウェアをサービスとしてインストールしたか、Internet Explorer に自分自身を付け加えました。

フィッシングのターゲットは Windows ベースのゲームだけではありません。今年、多数のフィッシング Web ページでおとりとして、Xbox Live のプレイヤーに数百ポイント、あるいは数千ポイントの提供を保証する謳い文句が掲載されているのを目にしました。必要なのは、Web ページに Xbox Live の認証情報を入力することだけです。ご想像どおり、良い結果にはならないでしょう。

結局、ゲーム プレイヤーは、インターネット ユーザーの中で最も狙われやすいカテゴリに属したままです。「チート」プログラム、キー ジェネレーター、ゲームそのものの海賊版を含め、実行可能なコードはすべて疑うように自分を訓練する必要があります。また、ゲームソフト メーカーとセキュリティ業界でさらに協力して情報の共有を進めたいと考えています。どちらの側にも相手の役に立つ情報がたくさんあるのですが、これまでのところ、共同作業はあまり進んでいるとは言えません。

wordpress blog stats