近年日本国内における相次ぐインターネットバンキングの不正送金の背後に存在するマルウェア「Citadel」。
Citadel は、ZeuS をはじめとする「バンキングトロイ」と呼ばれるマルウェアの一種であり、 感染ユーザがインターネットバンキングを使用する際にその認証情報を摂取しようとWeb ブラウザ上の表示を改ざんする「Web Injects」という特徴的な機能を持つ。
この Citadel感染によるインシデントに対応するには、感染端末上で Citadelがどのような設定で Web Injects を行い、 どのサーバと通信していたのかを明らかにする必要がある。そのためには、Citadel の細部までを理解した上で、Citadel が残したファイル群を調査しなければならない。
この発表では、インシデント対応において Citadel を詳細に分析した結果得られた知見、およびインシデント対応のため作成した Citadel 関連ファイル および通信データの復号ツールを紹介する。
中津留 勇 - You Nakatsuru
情報セキュリティインシデント対応支援業務、マルウェア分析・対策研究業務を経て、2013年4月から現職。 現在は、高度化するインシデント対応としてのマルウェア分析を行うと共に、インシデント対応技術・マルウェア対策技術の高度化に関しての調査・研究に従事。 マルウェア分析者の育成にも力を入れている。