WaterMind PC Blog

PCとネットワークに関するニュースコラム.

シェアウエア Vocal Cancel トロイ混入事件 続報

2005-07-09 03:21:00 | セキュリティ

 前々回の記事,「新SoftEtherとスパイウエア」に書いたように,シェアウエアであるVocal Cancelに,作者が意図的にトロイを混入した事件は,今なお,大きな波紋を広げている.本日7月8日も,大手ニュースサイトの「Internet Watch」が,「Vocal Cancel」のトロイの木馬、WindowsのプロダクトIDまでも収集」という記事で取り上げている.


 Internet Watch記事は,トレンドマイクロの公開しているウイルスデータベース内の,当該トロイTROJ_HIROFU.Aページの記述に基づいている.この事件のウォッチャならば,ご存じだとは思うが,このトレンドマイクロTROJ_HIROFU.Aページは,かなり頻繁に更新されており,次第に具体的なトロイの挙動が明らかになってきている.


 記事の中で特に問題としている情報漏洩は,WindowsのProductIDだ.この件については,既に,2chソフトウエア板「Vocal Cancel 5.06【実はスパイウェア】 3」の有志らによる解析で判明していたが,おそらく「不正シリアルでVocalCancelをインストールしたパソコンを特定するIDとして取得している」と思われる.だが,WindowsのProductIDは,正にソフトウエアとしてのWindowsのシリアルNo.に当たり,そのような重要情報を盗んでいると言えなくもない.


 また「WindowsのProductID取得」については,さらに気になることがある.「Voice Cancel」作者の古田氏は,自身の書いたメールの中で,次の5項目をトロイによって取得しているとした.


  1. 利用シリアルナンバー・パスワード
  2. ユーザーアカウントの情報(SID等)
  3. メールアカウントの情報
  4. アドレス帳
  5. ダイヤルアップアカウントの情報

  この5項目の中に,先ほどの「WindowsのProductID」は含まれていない.これはなぜなのか?


 謎はまだある.トレンドマイクロTROJ_HIROFU.Aページには,このトロイが,7つのサーバから,何らかのファイルをダウンロードしていることが示されている.


 ダウンロードの対象サーバは


  1. 210.231.108.2  gd-231108002.gd10.ccsnet.ne.jp
  2. 202.214.129.1  1.129.214.202.nf.2iij.net
  3. 210.231.108.1  gd10-001.ccsnet.ne.jp
  4. 210.155.146.5  hp.vector.co.jp
  5. 210.148.238.1  unknown
  6. 202.122.193.21  po3.lcv.ne.jp(トロイ作者のメールアカウントが存在する)
  7. 210.155.146.5  hp.vector.co.jp

となっており,私が調査したところでは,非匿名FTPサーバが稼働しているようだ.


 現在のところ,これらのサーバから,具体的にどのようなファイルがダウンロードされているかについては,情報が出ていない.不正シリアル使用者に報復するためのアドウエアなのか?それとも無害な不正シリアルのリストなのか?


 最後に残された謎.このトロイは,作者の契約しているプロバイダのSMTPサーバ経由で,収集した情報を作者にメールする.ところが,おもしろいことに,そのメールの宛先と差出人については,トロイ作者のVectorページ(注:Vectorでは,シェアウエア作者に対しWebページスペースを提供している)の内部記述を引用している.情報メールの宛先を,任意に変更できるように,このような仕組みにしたのは容易に理解できるが,差出人まで変更できるようにしたのはなぜか?


 ご存じかもしれないが,プロバイダの中には,SMTP認証アカウントと差出人のメールアドレスが一致していないとメール送信できない場合がある.つまり,メール送信における差出人詐称対策だ.トロイ作者が将来,そのようなメール送信制約の強いプロバイダに契約変更する可能性を考慮して,差出人まで変更できるような仕組みを作ったと見ることもできるかもしれない.ただ,その仮説が正しいのであれば,なぜSMTPサーバ名も,変更可能にしなかったのだろう?プロバイダを変更するのであれば,通常使用するSMTPサーバも変更となる.現在までの情報では,SMTPサーバ名は,トロイの中に固定的に埋め込まれているようだ.やはり,謎だ.ちなみに,トロイ作者の通う大学経由で,メール送信される場合もあったらしい.


 このように,このトロイに関しては,未だにいくつかの謎が残っている.トレンドマイクロは,既にこのトロイの解析を終えているのかもしれないが,公表された情報だけでは,情報漏洩以外の具体的な被害がはっきりしない.トレンドマイクロの,このトロイによるダメージ評定は「」となっているが,できることなら,より具体的なトロイの挙動について,公表してもらいたいものだ.トロイの具体的挙動がはっきりしないと,このトロイが違法か,適法かの判断も難しいと思う.また今後の2ch解析班の活躍にも期待したい.


最新の画像もっと見る