セキュリティソフトベンダーのトレンドマイクロによると、Citadelマルウェアは日本国内の2万台以上のパソコンにインストールされており、収集した金融情報を海外のサーバーに積極的に送信しているという。
東京に本社を置くトレンドマイクロは、先週6日間にわたり、マルウェアの日本版が収集するデータを収集する米国と欧州のリモートサーバーを監視したと発表した。感染したコンピューター2万台から23万件近くの接続があった日もあった。
このマルウェアは特に国内ユーザーをターゲットに設計されており、日本の金融機関6社の財務詳細のほか、Google、Yahoo、Microsoftの電子メールなど人気のサービスに関する情報を収集する。
トレンドマイクロは日本のセキュリティブログで、「このオンラインバンキング詐欺ツールによる被害は現在も続いています」と述べた。
セキュリティ企業「Citadel」は、感染したコンピュータ上のCitadelのコピーが定期的にアクセスしているリモートサーバーのうち、少なくとも9つのIPアドレスを検出したと発表した。アクセスの96%以上は日本のPCからのものだという。
厄介なバグ
Citadelは、感染したコンピュータ上で開かれたウェブサイトを改変または置換するマルウェアです。その後、ログイン情報などの個人情報を収集し、リモートサーバーに送信します。一部の亜種は、ユーザーがコンピュータをクリーンアップできないように、ウイルス対策サイトへのアクセスをブロックします。
このソフトウェアは、悪意のあるユーザーが感染したPCのネットワーク(ボットネット)を作成し、情報を収集してリモートサーバーに送信することを可能にします。また、様々な国の特定のサイトを模倣するようにカスタマイズすることも可能です。
先月、マイクロソフトと米連邦捜査局は協力し、世界中で5億ドル以上の経済的損失を引き起こしたとされる1,400のCitadelボットネットを破壊した。
この行動により、既存の Citadel ボットネットの多くが混乱に陥りましたが、ビルダー アプリケーションを持っている人なら誰でもカスタマイズされたバージョンを作成し、独自の操作を開始できます。
マイクロソフトの措置以降、詳細なコンテンツのローカライズとブラウザソフトウェアを破損させる高度な技術を備えた、高度にカスタマイズされたバージョンのマルウェアも欧州全域に出現している。
