Mac ユーザーの情報を 13 年間盗み続けていたスパイウェア「Fruitfly」

2018.01.25

Fruitfly マルウェアの正確な呼称は「スパイウェア」ですが、これまでどのように使用されてきたかを考えると、「クリープウェア (creepware)」と呼ぶべきかもしれません。この Fruitfly は、すぐに検出されてしかるべきクリープウェアでしたが、どういうわけか 10 年以上誰にも発見されませんでした。


水曜日にオハイオ州北部地区連邦地方裁判所で公開された 16 件の起訴状(リンク先:英語)によれば、Fruitfly の作成者 Phillip R. Durachinsky (28 歳) は、13 年以上にわたり数千人のユーザーを監視していました。Durachinsky はこの間、個人情報を収集するだけでなく、Web カメラでののぞき見やマイクを介した盗聴を行っており、収集したデータを使って児童虐待画像を作成していました。


オハイオ州ノースロイヤルトン在住の Durachinsky は、コンピュータ詐欺及び不正使用取締法違反、通信傍受法違反、児童虐待画像の作成、および加重ID盗取罪で起訴された、と米司法省 (DoJ) のプレスリリース(リンク先:英語)が報じています。


被害者は個人だけではなく、企業、学校、警察、そして米国エネルギー省の下部組織を含む政府機関に及んでいました。

DoJ は次のように述べています。


“(引用文日本語訳) Fruifly の使用により、保存データにアクセスしたり、ファイルをアップロードしたり、スクリーンショットを撮影・ダウンロードしたり、ユーザーのキーストロークを記録したり、カメラやマイクをオンにして画像や音声を記録したりすることで、各コンピュータの制御が可能でした。

Durachinsky はこのマルウェアを使用して、ログオン認証情報、納税記録、医療記録、写真、銀行の取引記録、インターネット検索など、被害者の個人情報を盗み出しました。


Durachinsky が Mac への感染に主に使用していたのは Fruitfly でしたが、Windows を実行しているコンピュータにも感染可能な Fruitfly の亜種も作成していました。


起訴状には、Durachinsky が数百万点の画像を保存し、のぞき見した内容を詳細に書き留め、ポルノ関連の単語をユーザーが入力すると警告を受け取れるように設計していた、と書かれています。


上記の機能に加えて注目すべき点は、非常に単純で比較的発見しやすいマルウェアでありながら、2003 年から Durachinsky が別の容疑で逮捕・拘留される 2017 年 1 月までの間検出されなかった点です。なお、Durachinsky は現在も拘留中です。


Forbes 誌の記事(リンク先:英語)によると、Durachinsky はケースウェスタンリザーブ大学 (CWRU) のコンピューターをハッキングした罪で 1 年前に起訴(リンク先:英語)されています。同大学は FBI に対し、100 台のコンピュータが感染したと報告していました。FBI は、当該のコンピュータは「数年前」から感染しており、同じマルウェアの感染が他の大学にも広がっていたことを発見しました。


Fruitfly が発見されたのはこの時であったものの、Durachinsky の逮捕は Fruitfly と関連していなかったようです。

6 か月後、国家安全保障局 (NSC) の元アナリストで現在は Mac マルウェア専門の研究者である Patrick Wardle 氏が、Fruitfly の新バージョンを発見し、Fruitfly にハードコードされていたバックアップドメインの名前を解読し、現在も使用可能なアドレスを発見した、と Forbes 誌は伝えています(リンク先:英語)


そのうちの 1 つを登録したところ、2 日間で約 400 台の感染した Mac (大半は米国内の自宅用 Mac) がサーバーに接続してきました。Wardle 氏がその後捜査当局に提供した調査結果は、今週の Durachinsky に対する起訴で証拠として用いられたと思われます。


これまでのところ、Fruitfly がコンピュータに感染する方法は明らかになっていませんが、脆弱性を悪用したという証拠はないため、被害者を騙して悪意のある Web リンクや電子メールの添付ファイルをクリックさせ、不正にアクセスした可能性があります。


Wardle 氏は Forbes 誌に対し、Fruitfly の最大の目的が監視であったことは間違いないと語っています。


“(引用文日本語訳) これはサイバー犯罪に分類されるものとは思えません。広告もなければ、キーロガーもランサムウェアもありませんでした。ユーザーがコンピュータを操作すると攻撃者に通知が送信されたり、マウスクリックやキーボードイベントをシミュレートする機能を搭載していたりするなど、Fruitfly の機能はインタラクティブ性をサポートするもののように見えます。”


また、2014 年に初めてリリースされた Mac OS X Yosemite のアップデートに関するコメントがコードに含まれていたことから、そのずっと前から何年間も活動していたと考えられると Wardle 氏は述べています。


また、検察は今週の訴状の中で、Durachinsky が 13 年間に入手したすべての財産を没収するよう裁判所に要請しています。検察側のこの動きは、Durachinsky が入手した画像やデータを他人に売却したと訴えていることを示唆しています。


DoJ は、Durachinsky がすでに罪状認否を行ったかどうかについては言及していませんが、プレスリリースには次のような標準的な免責事項が含まれていました。


“(引用文日本語訳) 起訴状に記載されている罪状は容疑にすぎず、被告は裁判所において合理的な疑いの余地のない証明をもって有罪とされない限り、無実と推定されます。”


ソフォス製品では、Fruitfly は OSX/Bckdr-RUA や Troj/Bckdr-RUC として検出されます。

引用元

おすすめの記事はこちら