Twitter投稿の画像から指令を受けるマルウェア発見

Trend Microのセキュリティー専門家によれば、Twitterへの投稿画像を通じてハッカーから指示を受ける新種のマルウェアが存在するという。

マルウェア本体は比較的地味なものだ。基本的にRAT(Remote Access Trojan)であり、脆弱なコンピューターに潜み、スクリーンショットを撮るなどの方法を得る。盗み出したデータはマルウェアをコントロールするサーバーに送り返される。

興味ある点はこのマルウェアがマザーシップから指示を受けるチャンネルとしてTwitterを利用していることだ。

Trend Microのブログ記事によれば、マルウェアは作者のTwitterアカウントをフォローしており、画像にステガノグラフィー(電子迷彩技術)を利用してマルウェアへのコマンドを隠したツイートを2件発見したという。マルウェアは画像、コードの共有サイトPastebinから貼り付けられた画像を通じてマザーシップ・サーバーのURLを得ていた。これによりマルウェアは盗んだデータの送り先を知ることができたわけだ。独創性については星5つつけてもいいだろう。

セキュリティー専門家は、Twitterにアップロードされた投稿には “/processos”(OS上で動作しているプロセスの一覧)、“/clip”(クリップボードの内容)、 “/docs”(フォルダー内のファイル名一覧)などのデータの窃取を命令するコマンドを隠すことができたと述べている。

このマルウェアが最初に発見されたのは、VirusTotalのハッシュ解析によれば10月中旬だった。これはPastebinに問題の投稿が行われた時期と一致する。

ただし専門家はまだ完全に解析を終えておらず、さらに研究が必要だと」している。マルウェアが生まれた場所、感染させる方法、さらには作者の身元などはまだ不明だ。またこのマルウェアの目的もまだ完全に明白になっていない。現在知られている以外の目的に用いることを意図していた可能性もある。またPastebinの画像に隠されたアドレスがインターネット外のものだった理由を把握していない。本番の攻撃を準備するテストだった可能性もある。

Twitterのセキュリティーは厳しく、マルウェア本体はもちろん、マルウェアの拡散を助けるような投稿もチェックされている。その監視をくぐり抜けてソーシャルメディアを通じてマルウェアとのコミュニケーションを図る(前例がないわけではないが)というのはユニークだ。

マルウェアがコミュニケーションのチャンネルとしてtwitter.comを選んだのは、直接不審なサーバーと通信するのに比べて、アンチ・マルウェアソフトにブロックされる可能性が少ないと考えたからだろう。

ただしTrend Microからの通報を受けて、Twitterは問題のアカウントを永久停止とした。

マルウェアはボットネットがTwitterを利用してコミュニケーションを図ったのはこれが初めてはなく、2009年にまださかのぼれる。ボットネットがTwitterを通じてコマンドを送信した例は最近では2016年に発見されている。これは予め書き込まれたTwitterアカウントを通じてコマンドを受け取るAndroidのマルウェアだった、

画像:Getty Images

原文へ

滑川海彦@Facebook Google+

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。