RSA はトロイの木馬「Zeus」の亜種を発見した。JPEG 形式の画像ファイルにマルウェアの設定情報を隠蔽できるようにカスタマイズされているので、「Stegano-Zeus」(迷彩型ゼウス)と名付けられた。すでに3万5,000台規模のボットネットを構築している事例が確認され、中央ヨーロッパの国々を標的として、金融機関や大手企業の内部 PC の感染例が確認されている。

トロイの木馬の亜種、「迷彩型ゼウス」が出現
あなたも目にしているかもしれない
Stegano-Zeus の画像

上の画像は、Stegano-Zeus が感染しているボットにダウンロードされていた画像である。バイナリレベルで解析しても、有効なヘッダ情報と画像情報を含んでおり、疑念を抱かせるものはない。しかし、ファイルの画像データの後には、コメントを装った付加情報が含まれていた。Base-64 という形式で符号化されている画像データと何の関係もないものであり、これこそが Zeus の設定ファイルで、感染ファイルである。ネットワーク監視装置や侵入検知システムやプロキシソフトウェアなど、たいていのツールは、一見して Web 上の画像をやり取りしているように見えるこの通信を、監視対象から外してしまう。

Zeus の設定データは、画像ファイルのコメントフィールドに格納されている。コメントフィールドはサイズの制約はなく、一般的な画像ビューワからは無視される。亜種が用いる画像ファイルは、JFIF に則っているが、コメント欄におけるデータ配列には共通性があるという。

地域別の感染状況は以下の通り。3万5,000台が感染している。

地域別の感染状況
地域別の感染状況

これまでも有名人のプライベート画像など、人目をひきやすいタイトルで、マルウェアの配布サイトに誘導する手口が頻繁に目撃されたが、今回のようにありきたりの画像ファイルに罠が仕掛けられるとなると、これまで以上に「信頼のおけないサイト、メール、画像には近寄らない」という、基本的なセキュリティ対策の意識が重要になってくるだろう。ありきたりのようだが。