【注意喚起】トロイの木馬版 PuTTY が流行中との情報

Hacking

Windows用の人気sshクライアント「PuTTY」を改造した、トロイの木馬版「PuTTY」が出回っているとの情報が流れています(Symantec ConnectZDNet Japan)。改変されたPuTTYを使用するとデータの窃盗のおそれがあるとのこと。

トロイの木馬版PuTTYが発見されたのは、2013年が初めてですが、その時と比較し、今回被害は広範囲に拡大しており、2013年はmalwareの作成者が感染パターンをテストしていたのではないかと見られています。

トロイの木馬版PuTTYの入手経路

ユーザーがトロイの木馬版PuTTYを入手する経路は、以下の通りとなります。

  • ユーザーがPuTTYをサーチエンジンで検索。
  • セキュリティ侵害を受けた偽造PuTTYサイトを間違えて選択。
  • 偽造PuTTYサイトは、最終的にアラブ首長国連邦内のIPアドレスのサイトにリダイレクトされる。ユーザーはそこからトロイの木馬版PuTTYをダウンロードしてしまう。

トロイの木馬版PuTTYを使うと、SSHのURLをBase64でエンコードし、アタッカーのWebサーバーに送信するなどの挙動を行うようです。

NewImage

判定方法は?

NewImage

今回報告された、トロイの木馬版PuTTYを見分けるのは比較的簡単です。トロイの木馬版は、Aboutダイアログのバージョンナンバーに「Unidentified build, Nov 29 2013 21:41:02」と表示されるからです。

もし自分が使っているPuTTYがトロイの木馬版であった場合、パスワードを変更し、アカウントを保護するなど適切な対処を行う必要があります。この辺は、PuTTY公式サイトにも注意書きがあるので参照してください。

また、Symantec / Norton製品は、トロイの木馬版 PuTTYを、Hacktool、WS.Reputation.1、Suspicious.Cloud.9として検出するそうなので、Norton製品を使っている方はとりあえず安心かもしれません。

出元を確かめたい

今回、ユーザーがトロイの木馬版 PuTTY を使用してしまう原因は、間違えたサイトからPuTTYをダウンロードしてしまうことにあります。PuTTYの本家公式サイトは、ドメイン名からは判別しづらいので、正しいサイトかどうか常に注意しておく必要があるでしょう。

また日本語対応のため、日本語版ごった煮版などさまざまなバリエーションが存在することも知っておいたほうが良いかもしれません。

スポンサーリンク